IBM Support

QRadar: Recon を使用した QRadar アプリケーションのトラブルシューティング

Troubleshooting


Problem

Recon を使用して QRadar アプリケーションのログを表示するにはどうすればよいですか?

Environment

QRadar V7.3.2 以降には、アプリケーション用のトラブルシューティング・サポート・ツールとして Recon があります。 Recon は QRadar V7.3.1 以前のトラブルシューティング・アプリケーションである qapp_utils730.py を置き換えます。

Resolving The Problem

Recon は、QRadar コンソールやアプリケーション・ホスト上のコンテナー及びコンテナー管理のトラブルシューティングを支援するために設計されたツールです。 Recon にはこの目的のための複数のコマンドを機能として持っています。 psdocker ps のようなツールと同様に、 recon ps を使用することでシステム上で実行中のコンテナーの概要やそれらで使用可能なプロパティーを見ることができます。 Recon は、DrQ ツールと合わせて使用することで発生の可能性がある問題を診断し、簡単なチャートを示します。このコマンドは検出された発生の可能性があるそれぞれの問題に対して可能な改善を示します。 API の制限のために、 Recon はそれが実行されている管理ホストを認識しません。 Recon は QRadar API に基づいて存在すべきアプリケーションや、現在のホスト上で実行されているコンテナーをリスト化します。これらは同じセットではない場合があります。アプリケーション ID または、ワークロードやサービス、コンテナの組み合わせが与えられると、 recon connect により、特定のコンテナーの内部で特定のコマンドを実行することができます。

手順
  1.  SSH を使用して、  root ユーザーとして QRadar コンソールにログインします。
    注 : 以下のコマンドは、アプリケーションが実行されているホスト上で実行する必要があります。アプリケーション・ホストを使用している場合には、アプリケーション・ホストに SSH 接続してコマンドを実行する必要があります。
     
  2. アプリケーションのアプリケーション ID を見つけるためには、次のコマンドを入力します。 /opt/qradar/support/recon ps
    インストールされているアプリケーションとそれらの App-ID の値のリストが画面に出力されます。 App-ID は固有の数値です。管理者はこの App-ID の値を特定のアプリケーションのコンテナーへの接続に使用することができます。

    問題が検出されなかった場合、recon コマンドの出力は次の例のようになります。
      
    /opt/qradar/support/recon ps

App-ID  Name              Managed Host ID  Workload ID  Service Name  AB  Container Name  CDEGH  Port  IJKL
1001    QRadar Assistant  53               apps         qapp-1001     ++  qapp-1001       +++++  5000  ++++

Legend:

Symbols:
n - Not Applicable
- - Failure
* - Warning
+ - Success

Checks:
Service:
A - Service exists in the workload file
B - Service is set to started

Container:
C - Container is in ConMan workload file
D - Container environment file exists
E - Container image is in si-registry
G - Container Systemd Units are started
H - Container exists and is running in Docker

Port:
I - Container IP are in firewall main filter rules
J - Container IP and port is in iptables NAT filter rules
K - Container port has routes through Traefik
L - Container port is responsive on debug path

    障害が検出された場合は、修復手順が表示されます。

  3. アプリケーション・コンテナーに接続するには、次のコマンドを入力します。 /opt/qradar/support/recon connect 1005
    アプリケーション・コンテナーへのシェルが開かれます。管理者はこのディレクトリーを参照することでアプリケーションのファイルやログ、構成を確認することができます。
  4.  app.log で接続エラーを確認するには、次のように入力します。 less /store/docker/volume/qapp-<appID>/log/app.log
  5. QRadar Resilient App から他のサーバー (プロキシー、認証サーバーなど) へのテスト接続を実行して到達性を確認する場合は、次のコマンドを実行します。 
    sh-4.4$ curl -v telnet://X.X.X.11:443 
* Rebuilt URL to: telnet://X.X.X.11:443/ 
*   Trying X.X.X.11... 
* TCP_NODELAY set 
* Connected to X.X.X.11 (X.X.X.11) port 443 (#0)
telnet コマンドはアプリケーション・コンテナー内部では使用できないため、到達性テストを行う際はアプリケーション・コンテナー内部で telnet コマンドを使用しないでください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.3.2;7.3.3"}]

Document Information

Modified date:
30 May 2023

UID

ibm12954511

Page Feedback