QRadar: トンネル接続の問題のトラブルシューティング

Troubleshooting

Problem

本資料では、管理対象ホストの暗号化された接続「トンネル」とその一般的なトラブルシューティングについて説明します。

Symptom

様々な症状がトンネルの問題として考えられます：

コンソールから変更のデプロイやフルデプロイを実行すると、管理対象ホストでタイムアウトとなる
管理対象ホストがコンソール上で不明なステータスとなる
コンソールで検索実行時に " An IO error occurred on server(s) hostname. Please try again." エラーで失敗する
qradar.log に次のようなエラーが見られる:

Setup process setuptunnel.host_114tunneleventstream has failed to start for 22 intervals. Continuing to try to start...
127.0.0.1 [ProcessMonitor] com.q1labs.hostcontext.processmonitor.ProcessManager: [ERROR] [NOT:0150114103][192.0.2.10/- -] [-/- -]Setup process setuptunnel.host_104tunnelrdate has failed to start for 276 intervals. Continuing to try to start.. [QRadar] [3330] qflow0: [WARNING] Lost connection to 192.0.2.10:32010

Cause

トンネルで問題が発生する原因はいくつかあります:

SSH 接続の問題: Technote 10960870 - QRadar: Checking SSH connectivity to ensure a connection can be formed
SSH 接続の検証: Technote 10960862 - QRadar: Validating SSH from the Console to a managed host is connecting
SSH 接続のトラブルシューティング: Technote 10960868 - QRadar: Troubleshooting SSH when connections cannot be established
コンソールと管理対象ホスト間の帯域幅が原因でトンネルがタイムアウトするか時々失敗する: Technote 10957897 - QRadar: Replication bandwidth requirements and verifying speed between console and managed host
コンソールと管理対象ホストのバージョンが異なる: Technote 10960936 - QRadar: All hosts in your deployment must be at the same version

Environment

QRadar における暗号化接続「トンネル」について

QRadar コンソールが管理対象ホストと接続するために使われるすべてのポートは、トンネルを使用して暗号化できます。コンソールと管理対象ホスト間のトンネルされた接続は、TCP ポート 22 を使用して SSH 接続で行なわれます。QRadar は、コンソールへ接続する管理対象ホストに暗号化された接続と暗号化されていない接続の両方を使用するのを管理者に許可しています。コンソールと管理対象ホスト間の暗号化接続の設定は、管理タブ > システムおよびライセンス管理 > デプロイメント・アクション > ホストの編集 > ホスト接続の暗号化 オプションにあります。デプロイメントによって管理対象ホストが追加されるか編集されると、管理者はアプライアンスの場所に基づいた接続を暗号化するオプションを選択できます。

image-20190911105727-2

セキュリティ上の理由から、管理対象ホストからコンソールへの SSH トンネルはセットアップできませんが、コンソールから管理対象ホストへの SSH トンネルはセットアップできます。管理対象ホストのパブリックキーは、コンソールの認証済みキーファイルには追加されません。これらの SSH セッションは、管理対象ホストへデータを提供するためにコンソールから開始されます。例えば、QRadar コンソールはセキュアな通信のためにイベント・プロセッサー・アプライアンスに複数の SSH セッションを開始できます。この通信は、ポート 443 の HTTPS データやポート 32006 の Ariel クエリデータのような SSH を通してトンネルされたポートも含みます。暗号化を使用する QRadar QFlow コレクターは、データを要求するフロー・プロセッサー・アプライアンスへ SSH セッションを開始できます。

トンネルを使用すると QRadar にレイヤーを追加し、パフォーマンスに影響を及ぼし得ます。もし閉じたネットワークを使用しているならば、トンネルは最適な解決策ではないかもしれません。パフォーマンスを改善するには暗号化圧縮も有効にする必要があるかもしれません。もし暗号化が必要だがトンネルを追加するのを失敗したなら、下記を参照し、SSH に関する同様のエラーメッセージか問題かどうかを判断して下さい。

注意: 管理者は管理対象ホスト間の SSH は有効化できません。SSH セッションはコンソールから発信されるか、管理対象ホストからコンソールへの SSH には root パスワードが要求されなければいけません。これは意図されており、セキュリティの一部としてユーザーが管理対象ホスト間を自由に移動するのを防ぐために IP テーブルが設定されています。 1 つの例外は、QFlow からフロー・プロセッサーに SSH を有効化できます。QFlow は、通信できるようにフロー・プロセッサーにトンネルを作成します。

Diagnosing The Problem

QRadar 7.3.x におけるトラブルシューティング方法

コンソールコマンドからどのサービスタイプに問題があるか特定します:

systemctl list-units --type=service | grep tunnel

すべてのサービスが active であり、出力は下記のようになるべきです:

トンネルが起動していない場合は、failed として出力されます。

tunnel@tunnel2.service loaded failed failed QRadar Tunnel tunnel

他には、システムおよびライセンス管理からホストが Unknown ステータスになっていないか確認します。

ホストがオンラインであるか、ネットワークの問題がないことを確認します。

Resolving The Problem

トンネルの再起動

上記の例の様にトンネル tunnel@tunnel2.service が起動に失敗していた場合、コマンドを使用してトンネルサービスを再起動します:

systemctl restart tunnel@tunnel2.service
これらの方法で問題を解消しなかった場合、コンソールとトンネルが失敗している管理対象ホストからログを取得します。 Technote 1994597 - QRadar のトラブルの際にサポートに送付する資料について教えてください? のログ収集方法を参照してください。
サポートサイトで Case をオープンします IBM QRadar support
SSH 接続のトラブルシューティングについては、Technote 1078749 - QRadar: SSH 接続およびトンネルのトラブルシューティングを参照してください。

Related Information

QRadar: Troubleshooting tunnel issues

Document Location

Worldwide

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Encryption","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Tips