Troubleshooting
Problem
本書では、コンソールと管理対象ホスト間の接続速度が低速になっている潜在的な問題について説明し、ネットワーク速度のテスト方法について詳しく説明します。
Symptom
ご使用のネットワーク環境により、コンソールとホスト間のネットワーク速度が不十分なため、特定のホスト (または一部ホスト) における変更のデプロイが頻繁に失敗する場合があります。
Diagnosing The Problem
コンソールと管理対象ホスト間の帯域幅が遅すぎるのは複製処理が完了するまでにかかる時間で示されます。 複製処理にかかる時間を表示するには、SSH でコンソールに接続した後、問題の管理対象ホストに SSH 接続し、 当該管理対象ホストで以下を実行します:
grep "Replication download" /var/log/qradar.log | tail
出力例:
[root@HOSTNAME ~]# grep "Replication download" /var/log/qradar.log | tail Jun 29 15:41:08 HOSTNAME replication[13866]: Replication download timing: Downloading: 427 ms Overall: 453 ms DB transaction: 20 ms Transaction verification: 6 ms Jun 29 15:42:08 HOSTNAME replication[724]: Replication download timing: Downloading: 399 ms Overall: 428 ms DB transaction: 21 ms Transaction verification: 6 ms Jun 29 15:43:08 HOSTNAME replication[19562]: Replication download timing: Downloading: 403 ms Overall: 431 ms DB transaction: 22 ms Transaction verification: 6 ms Jun 29 15:44:08 HOSTNAME replication[5264]: Replication download timing: Downloading: 399 ms Overall: 426 ms DB transaction: 20 ms Transaction verification: 6 ms
出力結果には、毎分発生している最新の 10 件の複製ダウンロードが表示されます。 メッセージの「Downloading:」部分を確認し、完了するまでにかかった時間をメモします。 理想的には複製を 3000 ミリ秒以内で完了することです。 これらが完了するために 5000 ミリ秒より長い時間がかかっている場合は帯域幅に問題があります。
上記の例では、複製はすべて 1/2 秒以内で完了しているため、問題はないことを示しています。
上記の例では、複製はすべて 1/2 秒以内で完了しているため、問題はないことを示しています。
複製が 5 秒より長くかかった場合は、コンソールと管理対象ホストの間で一部のデータを送信する方法でネットワーク速度をテストすることができます。
速度をテストする 1 つの方法は、以下のように dd コマンドを使用してハード・ディスク・スペースを使わずにデータを /dev/null に移動することです。
コマンド例:
速度をテストする 1 つの方法は、以下のように dd コマンドを使用してハード・ディスク・スペースを使わずにデータを /dev/null に移動することです。
コマンド例:
dd if=/dev/zero bs=1024 count=1048576 | ssh root@x,x,x,x 'cat > /dev/null'
この例では、ネットワーク上で約 1GB の情報が転送されます。
完了すると出力結果は以下のようになります。
[root@HOSTNAME ~]# dd if=/dev/zero bs=1024 count=1048576 | ssh root@192.0.2.10 'cat > /dev/null' 1048576+0 records in 1048576+0 records out 1073741824 bytes (1.1 GB) copied, 6.6233 s, 162 MB/s
注: 転送が完了するまでに 30 秒を超える場合は、 Ctrl+c を入力して転送を終了します。 このレポートにはその時間内のデータ転送量と転送速度の平均値が表示されます。
この例では、転送速度が 162 MB/s であることを示しています。これは十分です。 結果が 10MB/s 未満 ( オーバーヘッドしておよそ 100Mb/s ) の場合、このような低速のネットワークアクセスは同期を維持する機能に影響を与える可能性があり、複製またはデプロイメントが失敗する原因となります。
Resolving The Problem
コンソールと管理対象ホスト間のネットワーク速度が常に 100Mb/s の要件を下回っている場合は、ネットワーク・チームと協力して、要件を満たせるためにネットワーク速度を上げるようにします。 基本的なネットワークのトラブルシューティングとして、まずはネットワーク上で問題が発生している可能性のある場所で構成の問題がないことを確認する必要があります。
以下に問題の切り分けに役立つトラブルシューティング手順を紹介します。
- ネットワークのワークフローを確認してください。
参照先: Technote 2001955 - QRadar: Basic network troubleshooting workflow. - SSH セッションで traceroute コマンドを実行し、管理ホストのスイッチとルーター間の待ち時間問題を特定します。
traceroute の例:[root@HOSTNAME ~]# traceroute 192.168.0.84 traceroute to 192.168.0.84 (192.168.0.84), 30 hops max, 60 byte packets 732APPhost (192.168.0.84) 0.809 ms 0.708 ms 0.638 ms
-
ifconfig、ip ethtool 、 netstat などのツールを使用します。
これらのツールの使用方法については以下の Technote をご参照ください。
Technote 1997106 - QRadar: Using Linux Networking Tools to troubleshoot Interfaces -
QRadar コンソールと管理対象ホスト間で、すべてのスイッチおよびルーターを確認し、QRadar と互換性のあるネットワーク速度で稼働していることを確認します。
-
重い検索を実行したり、大量なアセット、ログ・ソース、またはオフェンスを管理している場合、推奨されるネットワーク要件は 1 ギガビット/秒です。
結果:
ネットワーク問題を切り分け、複製がすべての QRadar コンポーネント上で最適に実行されていることを確認します。
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Deployment","Platform":[{"code":"PF043","label":"Red Hat"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
26 January 2021
UID
ibm11103169