Troubleshooting
Problem
Recon を使用して QRadar アプリケーションのログを表示するにはどうすればよいですか?
Environment
QRadar V7.3.2 以降には、アプリケーション用のトラブルシューティング・サポート・ツールとして Recon があります。 Recon は QRadar V7.3.1 以前のトラブルシューティング・アプリケーションである qapp_utils730.py を置き換えます。
Resolving The Problem
Recon は、QRadar コンソールやアプリケーション・ホスト上のコンテナー及びコンテナー管理のトラブルシューティングを支援するために設計されたツールです。 Recon にはこの目的のための複数のコマンドを機能として持っています。
ps
や docker ps
のようなツールと同様に、 recon ps
を使用することでシステム上で実行中のコンテナーの概要やそれらで使用可能なプロパティーを見ることができます。 Recon は、DrQ ツールと合わせて使用することで発生の可能性がある問題を診断し、簡単なチャートを示します。このコマンドは検出された発生の可能性があるそれぞれの問題に対して可能な改善を示します。 API の制限のために、 Recon はそれが実行されている管理ホストを認識しません。 Recon は QRadar API に基づいて存在すべきアプリケーションや、現在のホスト上で実行されているコンテナーをリスト化します。これらは同じセットではない場合があります。アプリケーション ID または、ワークロードやサービス、コンテナの組み合わせが与えられると、 recon connect により、特定のコンテナーの内部で特定のコマンドを実行することができます。手順
- SSH を使用して、 root ユーザーとして QRadar コンソールにログインします。
注 : 以下のコマンドは、アプリケーションが実行されているホスト上で実行する必要があります。アプリケーション・ホストを使用している場合には、アプリケーション・ホストに SSH 接続してコマンドを実行する必要があります。
- アプリケーションのアプリケーション ID を見つけるためには、次のコマンドを入力します。
/opt/qradar/support/recon ps
インストールされているアプリケーションとそれらの App-ID の値のリストが画面に出力されます。 App-ID は固有の数値です。管理者はこの App-ID の値を特定のアプリケーションのコンテナーへの接続に使用することができます。
問題が検出されなかった場合、recon コマンドの出力は次の例のようになります。
/opt/qradar/support/recon ps App-ID Name Managed Host ID Workload ID Service Name AB Container Name CDEGH Port IJKL 1001 QRadar Assistant 53 apps qapp-1001 ++ qapp-1001 +++++ 5000 ++++ Legend: Symbols: n - Not Applicable - - Failure * - Warning + - Success Checks: Service: A - Service exists in the workload file B - Service is set to started Container: C - Container is in ConMan workload file D - Container environment file exists E - Container image is in si-registry G - Container Systemd Units are started H - Container exists and is running in Docker Port: I - Container IP are in firewall main filter rules J - Container IP and port is in iptables NAT filter rules K - Container port has routes through Traefik L - Container port is responsive on debug path
障害が検出された場合は、修復手順が表示されます。
- アプリケーション・コンテナーに接続するには、次のコマンドを入力します。
/opt/qradar/support/recon connect 1005
アプリケーション・コンテナーへのシェルが開かれます。管理者はこのディレクトリーを参照することでアプリケーションのファイルやログ、構成を確認することができます。 - app.log で接続エラーを確認するには、次のように入力します。
less /store/docker/volume/qapp-<appID>/log/app.log
- QRadar Resilient App から他のサーバー (プロキシー、認証サーバーなど) へのテスト接続を実行して到達性を確認する場合は、次のコマンドを実行します。
sh-4.4$ curl -v telnet://X.X.X.11:443 * Rebuilt URL to: telnet://X.X.X.11:443/ * Trying X.X.X.11... * TCP_NODELAY set * Connected to X.X.X.11 (X.X.X.11) port 443 (#0)
注:telnet コマンドはアプリケーション・コンテナー内部では使用できないため、到達性テストを行う際はアプリケーション・コンテナー内部で telnet コマンドを使用しないでください。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.3.2;7.3.3"}]
Was this topic helpful?
Document Information
Modified date:
30 May 2023
UID
ibm12954511