Question & Answer
Question
最大接続数に達したというエラーが表示されていますが、その制限を増やす方法はありますか?
Cause
デフォルトでは、QRadar は合計 2,500 の TCP Syslog 接続を許可し、ホストごとに 10 の接続を許可します。2,500 を超える接続が試行されると、以下のようなメッセージが /var/log/qradar.error に記録されます。
Mar 19 11:48:05 ::ffff:192.168.1.2 [ecs-ec-ingress.ecs-ec-ingress] [TcpSyslog(0.0.0.0/514) Protocol Provider Thread: class
com.q1labs.semsources.sources.tcpsyslog.TcpSyslogProvider0] com.q1labs.semsources.sources.tcpsyslog.TcpSyslogProvider:
[INFO] [NOT:0080004100][192.168.1.2/- -] [-/- -]TcpSyslog(0.0.0.0/514)refused
多数のイベントが 1 つのホスト経由で送信される場合、ホストは一度に 10 を超える接続の使用を試みる可能性があります。ホストごとに 10 を超える接続が試行されると、/var/log/qradar.error に以下のようなメッセージが表示されます。
[ecs-ec-ingress.ecs-ec-ingress] [TcpSyslog(0.0.0.0/514) Protocol Provider Thread: class com.q1labs.semsources.sources.tcpsyslog.TcpSyslogProvider0] com.q1labs.semsources.sources.tcpsyslog.TcpSyslogProvider: [WARN] [NOT:0000004000][10.10.10.20/- -] [-/- -]connectionsPerHost[10] maximum [10] reached for host [IP ADDRESS] ... dropping connection
Answer
はい、TCP syslog 接続の最大数の制限とホストごとの TCP syslog 最大接続数の両方を増やすことができます。
注: TCP Syslog 接続の最大数を大きくしすぎると、パフォーマンスに影響し、Ecs-Ec-Ingress がメモリ不足になる可能性があります。問題解決の場合にのみ該当の値を上げてください。
重要: QRadar on Cloud 管理者は、QRadar サポート・ケースで、TCP syslog 最大接続数の制限とホストごとの最大 TCP syslog 接続数の新しい値を指定する必要があります。
TCP syslog 接続の最大数の制限を増やすには、以下に従ってください。
- QRadar UI にログインします。
-
管理設定を開きます。
-
V7.3.1 以前の IBM Security QRadar では、ナビゲーション・メニュー ☰ をクリックしてから、「管理」をクリックして「管理」タブを開きます。
-
V7.3.2 以降の IBM Security QRadar では、「管理」タブをクリックします。
-
- 「システム設定」をクリックします。
- 「拡張」をクリックします。
- 「TCP syslog 接続の最大数」までスクロールダウンします。
- 必要に応じて値を増やします。
- 「保存」をクリックします。
- 「管理」タブ から、「拡張」 > 「すべての構成のデプロイ」をクリックします。
- デプロイ・プロセスを完了するため、「続行」をクリックします。
- 「管理」タブから、「拡張」 > 「イベント収集サービスの再始動」をクリックします。
ホストごとの TCP syslog 最大接続数の制限を増やすには、以下に従ってください。
- 管理設定を開きます。
- 「システム設定」を開きます。
- 「ホストあたりの TCP Syslog 最大接続数」までスクロールダウンします。
- 必要に応じて値を増やします。(ただし、TCP syslog 接続の最大数を超えないでください)
- 「保存」をクリックします。
- 「管理」タブ から、「拡張」 > 「すべての構成のデプロイ」をクリックします。
- デプロイ・プロセスを完了するため、「続行」をクリックします。
- 「管理」タブから、「拡張」 > 「イベント収集サービスの再始動」をクリックします。
ecs-ec-ingress がメモリ不足エラーでクラッシュする以外に、以下の問題が発生する可能性があります。
WinCollect エージェントが、TCP 最大接続数またはホストごとの TCP 最大接続数を増やした後に停止します。
TCP 最大接続数またはホストごとの TCP 最大接続数を更新すると、WinCollect エージェントがイベントの送信を停止します。これが発生すると、/var/log/qradar.error に以下のようなメッセージが表示されます。
[ecs-ec-ingress.ecs-ec-ingress] [WinCollectConfigHandler_35]
com.q1labs.sem.semsources.wincollectconfigserver.WinCollectConfigHandler:
[ERROR] [NOT:0000003000][192.168.x.x/- -] [-/- -]Encountered a problem in WinCollectConfigSocket Thread
May 6 05:15:37 ::ffff:192.168.x.x [ecs-ec-ingress.ecs-ec-ingress] [WinCollectConfigHandler_35]
java.net.SocketTimeoutException: Read timed out
この問題を解決するには、以下に従ってください。
- 管理ユーザーとしてイベントを送信していない WinCollect ホストにログインします。
- 「サービス」アプリケーションを開きます。
- "WinCollect" サービスまでスクロールします。
- 「再起動」をクリックします。
結果
WinCollect エージェントが起動し、ホストはイベントを送信します。
WinCollect エージェントが起動し、ホストはイベントを送信します。
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
01 November 2023
UID
ibm17044541