recon ツールの実行

recon ツールを使用すると、デプロイメントの問題からコンテナー環境やネットワーキングの問題まで、 IBM® QRadar® アプリケーションの問題の検出と修正に役立ちます。 このツールはシステムにアクセスして変更する可能性があるため、このツールを実行するには、root アクセス権限が必要です。

制約事項:

recon ツールは、 IBM QRadar on Cloud では使用できません。

recon ツールは、 QRadar V7.4.0 以降で使用可能です。

始める前に

recon ツールを実行するには、最新の自動更新バンドルが必要です。 自動更新が有効になっていない場合は、次の手順を実行します。
  1. 最新の自動更新バンドルを Fix Central (https://www.ibm.com/support/fixcentral/) からダウンロードします。
  2. QRadar: QRadar Weekly Auto Update Bundle 」(https://www.ibm.com/support/docview.wss?uid=swg22003034) の説明に従って、自動更新バンドルをインストールします。

このタスクについて

QRadar コンソール またはアプリケーション・ホストのいずれかで、アプリケーションが実行されているコンピューター上で recon ツールを実行します。

手順

recon ツールを実行するには、次のコマンドを入力します。
/opt/qradar/support/recon ps
問題が検出されない場合、recon コマンドの出力は次の例のようになります。
App-ID  Name              Managed Host ID  Workload ID  Service Name  AB  Container Name  CDEGH  Port  IJKL
1001 QRadar ハブ 53 アプリ qapp-1001 ++ qapp-1001 +++++ 5000 ++++++

凡例:

Symbols:
n - Not Applicable
- - Failure
*-警告
+-成功

Checks:
サービス:
A - Service exists in the workload file
B - Service is set to started

コンテナ:
C - Container is in ConMan workload file
D - Container environment file exists
E - Container image is in si-registry
G - Container Systemd Units are started
H - Container exists and is running in Docker

ポート:
I - Container IP are in firewall main filter rules
J - Container IP and port is in iptables NAT filter rules
K - Container port has routes through Traefik
L - Container port is responsive on debug path

障害が検出された場合は、修復手順が表示されます。

結果

recon コマンドの結果にアプリケーションが開始されていないことが示された場合は、アプリケーションが以下のように設定されていることを確認する必要があります。RUNNINGAPI で使用できます。

qappmanager サポート・ユーティリティーを使用できます。 詳しくは、「 https://www.ibm.com/support/pages/qradar-about-qappmanager-support-utility」を参照してください。