IBM Support

QRadar: TCP Syslog の最大接続数を増やすにはどうすればよいですか?

Question & Answer


Question

最大接続数に達したというエラーが表示されていますが、その制限を増やす方法はありますか?

Cause

デフォルトでは、QRadar は合計 2,500 の TCP Syslog 接続を許可し、ホストごとに 10 の接続を許可します。2,500 を超える接続が試行されると、以下のようなメッセージが /var/log/qradar.error に記録されます。
Mar 19 11:48:05 ::ffff:192.168.1.2 [ecs-ec-ingress.ecs-ec-ingress] [TcpSyslog(0.0.0.0/514) Protocol Provider Thread: class 
com.q1labs.semsources.sources.tcpsyslog.TcpSyslogProvider0] com.q1labs.semsources.sources.tcpsyslog.TcpSyslogProvider: 
[INFO] [NOT:0080004100][192.168.1.2/- -] [-/- -]TcpSyslog(0.0.0.0/514)refused
多数のイベントが 1 つのホスト経由で送信される場合、ホストは一度に 10 を超える接続の使用を試みる可能性があります。ホストごとに 10 を超える接続が試行されると、/var/log/qradar.error に以下のようなメッセージが表示されます。
  
[ecs-ec-ingress.ecs-ec-ingress] [TcpSyslog(0.0.0.0/514) Protocol Provider Thread: class com.q1labs.semsources.sources.tcpsyslog.TcpSyslogProvider0] com.q1labs.semsources.sources.tcpsyslog.TcpSyslogProvider: [WARN] [NOT:0000004000][10.10.10.20/- -] [-/- -]connectionsPerHost[10] maximum [10] reached for host [IP ADDRESS] ... dropping connection

Answer

はい、TCP syslog 接続の最大数の制限とホストごとの TCP syslog 最大接続数の両方を増やすことができます。
注: TCP Syslog 接続の最大数を大きくしすぎると、パフォーマンスに影響し、Ecs-Ec-Ingress がメモリ不足になる可能性があります。問題解決の場合にのみ該当の値を上げてください。
重要: QRadar on Cloud 管理者は、QRadar サポート・ケースで、TCP syslog 最大接続数の制限とホストごとの最大 TCP syslog 接続数の新しい値を指定する必要があります。
TCP syslog 接続の最大数の制限を増やすには、以下に従ってください。
  1. QRadar UI にログインします。

  2. 管理設定を開きます。

    • V7.3.1 以前の IBM Security QRadar では、ナビゲーション・メニュー  をクリックしてから、「管理」をクリックして「管理」タブを開きます。

    • V7.3.2 以降の IBM Security QRadar では、「管理」タブをクリックします。

  3. 「システム設定」をクリックします。
    image-20190321202813-1
  4. 「拡張」をクリックします。
  5. 「TCP syslog 接続の最大数」までスクロールダウンします。
    image-20190321200923-1
  6. 必要に応じて値を増やします。
  7. 「保存」をクリックします。
  8. 「管理」タブ から、「拡張」 > 「すべての構成のデプロイ」をクリックします。
  9. デプロイ・プロセスを完了するため、「続行」をクリックします。
  10. 「管理」タブから、「拡張」 > 「イベント収集サービスの再始動」をクリックします。
ホストごとの TCP syslog 最大接続数の制限を増やすには、以下に従ってください。
  1. 管理設定を開きます。
  2. 「システム設定」を開きます。
  3. 「ホストあたりの TCP Syslog 最大接続数」までスクロールダウンします。
  4. 必要に応じて値を増やします。(ただし、TCP syslog 接続の最大数を超えないでください)
  5. 「保存」をクリックします。
  6. 「管理」タブ から、「拡張」 > 「すべての構成のデプロイ」をクリックします。
  7. デプロイ・プロセスを完了するため、「続行」をクリックします。
  8. 「管理」タブから、「拡張」 > 「イベント収集サービスの再始動」をクリックします。
ecs-ec-ingress がメモリ不足エラーでクラッシュする以外に、以下の問題が発生する可能性があります。

WinCollect エージェントが、TCP 最大接続数またはホストごとの TCP 最大接続数を増やした後に停止します。

TCP 最大接続数またはホストごとの TCP 最大接続数を更新すると、WinCollect エージェントがイベントの送信を停止します。これが発生すると、/var/log/qradar.error に以下のようなメッセージが表示されます。

[ecs-ec-ingress.ecs-ec-ingress] [WinCollectConfigHandler_35]
com.q1labs.sem.semsources.wincollectconfigserver.WinCollectConfigHandler: 
[ERROR] [NOT:0000003000][192.168.x.x/- -] [-/- -]Encountered a problem in WinCollectConfigSocket Thread
May  6 05:15:37 ::ffff:192.168.x.x [ecs-ec-ingress.ecs-ec-ingress] [WinCollectConfigHandler_35] 
java.net.SocketTimeoutException: Read timed out


この問題を解決するには、以下に従ってください。

  1. 管理ユーザーとしてイベントを送信していない WinCollect ホストにログインします。
  2. 「サービス」アプリケーションを開きます。
  3. "WinCollect" サービスまでスクロールします。
  4. 「再起動」をクリックします。
結果
WinCollect エージェントが起動し、ホストはイベントを送信します。

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
01 November 2023

UID

ibm17044541

Page Feedback