デバイスのディスカバリーおよびバックアップのトラブルシューティング

デバイスのディスカバリーおよびバックアップの問題を修正します。 ログやエラー・メッセージおよび警告メッセージで詳細を確認して、トラブルシューティングに役立てることができます。

装置バックアップ障害

デバイスのログイン資格情報を確認します。
  1. 「リスク」 タブで、 「構成モニター」をクリックします。
  2. ターゲット・デバイスにアクセスするための資格情報が正しいことを確認します。
  3. ターゲット・デバイスで資格情報をテストします。

デバイス・バックアップ・エラーの表示

バックアップ・エラーを表示するには、以下の手順を実行します。

  1. 「リスク」 タブで、 「構成モニター」をクリックします。
  2. デバイスをクリックし、 「エラーの表示」をクリックします。

以下の表に、エラー・メッセージの ID、メッセージの説明、およびトラブルシューティングの推奨アクションをリストします。

表 1. デバイス・バックアップ・エラー
バックアップ・エラー エラーの説明 推奨トラブルシューティング手順
UNEXPECTED_RESPONSE 接続試行がタイムアウトになった 正しいアダプターを使用していることを確認します。
INVALID_CREDENTIALS 資格情報が正しくない 構成モニターで資格情報を確認します。
SSH_ERROR 接続エラー デバイスが機能していて、ネットワークに接続されていることを確認します。 その他のネットワーク接続プロトコルおよびトラブルシューティング・ツールを使用して、デバイスにアクセス可能であることを確認します。 SSH 接続プロトコルが許可されていて、正しく構成されていることを確認します。
TELNET_ERROR 接続エラー デバイスが機能していて、ネットワークに接続されていることを確認します。 その他のネットワーク接続プロトコルおよびトラブルシューティング・ツールを使用して、デバイスにアクセス可能であることを確認します。 Telnet 接続プロトコルが許可されていて、正しく構成されていることを確認します。
SNMP_ERROR 接続エラー デバイスが機能していて、ネットワークに接続されていることを確認します。 その他のネットワーク接続プロトコルおよびトラブルシューティング・ツールを使用して、デバイスにアクセス可能であることを確認します。 SNMP が許可されていて、正しく構成されていることを確認します。
TOO_MANY_USERS このデバイスの構成済みアクセス・ユーザー数を超えた。 デバイスへのアクセスが許可されるユーザーの最大数を確認します。それには、デバイスにログオンし、そのデバイスに同時にアクセスできる最大ユーザー数の構成を確認します。
DEVICE_MEMORY_ERROR デバイス構成エラー デバイスが正常に機能していることを確認します。 デバイスにアクセスし、構成を検証して、ログにエラーがないかを確認します。 デバイスの資料を参照して、エラーのトラブルシューティングに役立ててください。
NVRAM_CORRUPTION_ERROR デバイスのアクセス権限の問題 「構成モニター」で、デバイスにアクセスするように構成されているユーザー名のアクセス・レベルを確認します。
INSUFFICIENT_PRIVILEGE デバイスにアクセスするように構成されたユーザーの特権が不十分 「構成モニター」で、デバイスにアクセスするように構成されているユーザー名のアクセス・レベルを確認します。
DEVICE_ISSUE デバイスでのエラー 「構成モニター」「状況」 列で、 「失敗」をクリックします。 「最近のアクティビティー」 ページで、 「ログの表示」 をクリックして詳細を表示します。

バックアップ終了時に構文解析に関する警告が出る

警告の詳細を表示するには、以下の手順を実行します。

  1. 「リスク」 タブをクリックします。
  2. ナビゲーション・メニューで、「構成モニター (Configuration Monitor)」をクリックします。
  3. 「デバイス・リスト (Device List)」の表で、選択したデバイスの「ログの表示 (See Log)」をクリックします。

アダプターのバージョンが最新になっているか確認する

アダプターのバージョンを確認するには、root として QRadar® Risk Manager アプライアンスにログインし、以下のコマンドを入力します。

yum list adapter\*

アダプター名の日付情報を確認することでリリース日を判定できます。

最新のアダプター・バンドルをダウンロードするには、以下の手順を実行します。
  1. IBM® Fix Central (https://www.ibm.com/support/fixcentral/) にアクセスします。
  2. 「製品セレクター」フィールドに Risk Manager と入力して、選択をフィルターに掛けます。
  3. IBM QRadar Risk Managerをクリック。
  4. 「インストール済みのバージョン」リストで、システムにインストールされているバージョンを選択します。
  5. 「プラットフォーム」リストから、ご使用のシステムにインストールされているオペレーティング・システムを選択し、「続行」をクリックします。
  6. 「フィックスの参照」をクリックし、 「続行」をクリックします。
  7. 最新のアダプター・バンドルをダウンロードするために、「アダプター」リストの最上部にあるアダプター・バンドル・リンクをクリックします。

デバイス・バックアップが最新であるか確認する

バックアップが最新かを確認するには、以下の手順を実行します。

  1. 「リスク」 タブをクリックします。
  2. ナビゲーション・メニューで、「構成モニター (Configuration Monitor)」をクリックします。
  3. 「デバイス・リスト (Device List)」の表で、デバイスをダブルクリックします。
  4. ツールバーから、 「履歴」をクリックします。 インポートされている最新の構成が表示されます。
構成が最新のものではないと思われる場合は、バックアップを再実行して確認してください。

デバイスからの構成のインポート時のエラー

CSV ファイルの形式が誤っていると、デバイスのバックアップが失敗する原因になります。 以下の手順を実行して、CSV ファイルを確認します。
  1. CSV ファイルを確認して、エラーを修正します。
  2. 更新した CSV ファイルを使用して、デバイスの構成を再インポートします。

Check Point SMS (OPSEC) からのデバイスのディスカバー失敗

IBM QRadar Risk Manager アダプター構成ガイド」の「CPSMS コンソールによって管理されるデバイスの追加」セクションのすべてのステップに従ってください。特に、OPSEC フィールドを正確に指定する必要があるステップ 7 および 8 に従ってください。

ログイン・メッセージまたは本日のメッセージが原因であるデバイス・バックアップの失敗

Telnet および SSH を使用してデバイスに接続するアダプターは、正規表現 (regex) を使用してデバイス・プロンプトを付き合わせます。 ログイン・メッセージまたは本日のメッセージ内の文字が正規表現と一致した場合、バックアップ・プロセスが失敗する可能性があります。

例えば、Cisco ASA に対して以下のログイン・バナーを使用すると、regex #\s*$ が一致した時に、ログイン・メッセージ内の # 文字がデバイス・プロンプトであるかのようにアダプターが動作するため、バックアップは失敗します。

############### Welcome to ASA ###############

以下の表に、バックアップの失敗によって影響されるアダプターとその正規表現をリストします。

表 2. アダプターとその正規表現
アダプター 正規表現 (単一引用符 (') が区切り文字として使用される)
CheckPoint SecurePlatform
'sername:|(?<!Last)\s+login:'
'[Pp]assword:'
'(#|\$|>)\s*$'
Cisco SecurityAppliance (ASA)
'sername:|ogin:'
'[Pp]assword:'
'>\s*$'
'#\s*$'
Cisco Nexus
'sername:\s*'
'assword:\s*'
'(^|\n|\r)[^#^\n^\r]+#\s*$|[^#^\n^\r]+#\s*\S+#\s*$'
'\/hello>\W+?'
Cisco IOS
'maximum number of telnet'
'assword required, but none se'
'sername:'
'assword:'
'PASSCODE:'
'(?m)^\w\S*#\s*(?![\n\r])$'
'(?m)^\w\S*>\s*(?![\n\r])$'
'any key to'
'User Interface Menu'
Cisco CatOS
'sername:|ogin:'
'[Pp]assword:'
'\n\S+\s$'
'\(enable\)\s*$'
'(^|\n|\r)[^>^(\n|\r)]+>\s*$'
HP ProVision
'\S+>'
'\S+#'
'sername:\s*\Z'
'ogin as:'
TippingPoint IPS
'sername:|ogin:'
'assword:'
'(#|\$|>)\s*$'
CheckPoint OPSEC
'sername:|(?<!Last)\s+login:'
'[Pp]assword:'
'(#|\$|>)\s*$'
McAfee Sidewinder
'sername:|(?<!Last)\s+login:|(login:\s+)$'
'[Pp]assword:'
'(#|\$|>|%)\s*$'
Juniper ScreenOS
'sername:|ogin:'
'[Pp]assword:'
'(#|>)\s*$'
Juniper JUNOS
'^\s*login:'
'assword'
'%'
'.+>'
Juniper NSM
'sername:|(?<!Last)\s+login:'
'[Pp]assword:'
'(#|\$|>)\s*$'
Sourcefire 3D
'(#|\$|\>)\s*$'
'(\>\s*expert\a?)\s*$'
'([Pp]assword)\s*\:\s*$'
F5 BIG-IP
'sername:|ogin:\s*$'
'continue connecting \(yes\/no\)\?\s*$'
'[Pp]assword:\s*$'
'(#|\$)\s*$'
Fortinet FortiOS
'sername:|(?<!Last)\s+login:'
'[Pp]assword:'
'(#|\$|>)\s*$'
Nokia CheckPoint
'sername:\s*$|ogin:\s*$'
'[Pp]assword:'
'Terminal\s+type\?'
'(#|\$|>)\s*$'