IBM Support

QRadar のトラブルの際にサポートに送付する資料について教えてください

Question & Answer


Question

IBM Security QRadarのトラブルについてIBMサポートに問い合わせする場合に、事前に収集すると良い基本的な情報について説明します

Cause


リンク

  1. ソフトウェアの問題発生時に収集すべき情報
  2. DSM 構文解析に関する問題発生時に収集すべき情報
  3. ハードウェアの問題発生時に収集すべき情報
  4. WinCollect エージェントに関する問題発生時に収集すべき情報
  5. イベント・パイプラインに関する問題発生時に取得すべき情報

Answer


1. ソフトウェアの問題発生時に収集すべき情報


QRadar のソフトウェアの問題を報告する場合は、次の情報をご提供ください。

1a. QRadar 7.2.5 以降におけるユーザー・インタフェースからのログ収集方法

  • 問題が発生する前に行った作業や変更などについての情報を含んだ、問題の詳細な説明。
  • 問題を示す画面キャプチャやエラーメッセージ。
  • 問題を解決するために行った作業内容。
  • QRadar にて get_logs からエクスポートしたデータ。
  • 製品のバージョン及び Build 番号。この情報はヘルプ > バージョン情報より確認できます。


    ご使用の QRadar バージョンによりログの収集方法が異なります。
  • QRadar v7.2.5 以降では、Collect_logs が System and License Management ユーザー・インターフェースに追加されました。 もし、QRadar v7.2.5 以降でない、またはユーザー・インターフェイスの問題がある場合は、このユーティリティーのコマンドライン・バージョンである get_logs.sh を使用することができます。次のビデオでは、QRadar Support を使用してサービス・リクエストを開く準備をする際のログ・ファイルの収集方法を示しています。
YouTube Video
Collect get_logs from QRadar 7.2.5 and later (00:02:20)
Watch the video on YouTube (00:02:20)
手順
  1. Admin タブをクリックします。
  2. System and License Management アイコンをクリックします。
  3. ユーザー・インターフェースから、ログを収集したい QRadar アプライアンスを選択します。
    注意 : 複数のアプライアンスからログを取得するには、Shift + クリックまたは、Ctrl + クリックを使用することができます。複数のアプライアンスを選択しない場合、デフォルトでは QRadar コンソールのログを収集します。
  4. Actions > Collect Log Files を選択します。
  5. ほとんどの場合、アプリケーション / 拡張の問題が発生していない限り、デフォルトのオプションが使用されます。


    Advanced Options
    • QRadar Support による指示がない限り、Include Debug Logs チェックボックスを有効にする必要はありません。
    • QRadar 拡張またはアプリケーションのインストールで問題がある場合は、Include Application Extension Logs チェックボックスを選択します。
    • 最近アプライアンスをアップグレードした、ソフトウェア更新をインストールした、または管理対象ホストに問題がある場合は、Include Setup Logs(Current Version) チェックボックスを選択します。
    • Collect Logs for this Many Days フィールドは空白にしておくことができます。しかし、複数のホストからログを収集している場合は、希望の時間枠を選択して、ログ・ファイルの収集に要する時間とサイズを制限します。
  6. Collect Log Files をクリックします。

    ログ収集プロセスが開始され、ログ収集が完了するとステータス・バーが更新されます。
  7. [Download] をクリックしてファイルを保存します。
  8. サポート・チケットにログを添付します。
結果
IBM Support は、お客様が希望する連絡方法にてお客様へご連絡します。ユーザー・インターフェイスからのファイルのダウンロードで問題が発生した場合は、/var/log ディレクトリからバックアップを移動するために WinSCP または他のセキュアなコピー・ユーティリティーを使用してファイルをダウンロードすることができます。get_logs.sh ユーティリティを使用するには、アプライアンスへのルート権限でのアクセスが必要です

1b. QRadar 7.2.4 以前におけるコマンドライン・インターフェイス (get_logs.sh) からのログ収集方法


コマンドラインからログを収集するには、ルート権限でのアクセスが必要です。get_logs.sh ユーティリティは、QRadar のすべてのバージョンで利用可能であり、すべての QRadar アプライアンスに提供されています。もし管理対象ホストに問題が発生していて QRadar ユーザー・インターフェイスが使用できない時は、このユーティリティを使用してください。
手順
  1. SSH を使用して、コンソール・アプライアンス (または All-in-One) に root ユーザーとしてログインします。
  2. 次のコマンドを入力します。 : /opt/qradar/support/get_logs.sh
    このスクリプトでは、ログが作成され、その名前と場所を示します。通常は /var/log ディレクトリーです。
    アプリケーションまたは拡張の問題のために、-a オプションを使用してコンソール・ログと一緒にアプリケーション・ログを収集してください。
    実行可能なコマンドの一覧については次のコマンドを入力します : /opt/qradar/support/get_logs.sh -h
  3. ログ・ファイルをアップロードするために、外部ネットワークへアクセス可能なシステムに tar.bz2 ファイルをコピーします。
  4. サポート・チケットにログを添付します。
結果
IBM Support からお客様へご指定の連絡方法にてご連絡します。

2. DSM 構文解析に関する問題発生時に収集すべき情報


DSM 構文解析の問題についてサポートを受けるためには、以下の情報が必要となります :


2a. 導入している DSM のバージョンの確認方法

  • 不明や格納または、誤ってカテゴリー化されたイベントのアプライアンス名やソフトウェア名。
  • ログ・ソース設定の画面キャプチャ。該当のログ・ソースをダブルクリックして編集画面を開き、画面キャプチャを取得してください。
  • 誤ったイベントの画面キャプチャ。[ログ・アクティビティ] タブでイベントをダブルクリックしてイベント・サマリを表示の上、画面キャプチャを取得してください。
  • イベントを生成しているソフトウェアのバージョン。もしネットワーク内に複数のアプライアンスがある場合、すべてのバージョンをリストします。
  • QRadar Console にインストールされている DSM のバージョン。(次の手順を参照してください)
  • Console の [ログ・アクティビティ] タブからの Full XML エクスポート。(次の手順を参照してください)
手順
  1. SSH を使用して、QRadar Console に root でログインします。
  2. インストールされているバージョンを確認するには次のコマンドを入力します : rpm -qa | grep -i nameofDSM
    例 :
  3. このバージョン情報が IBM Fix Centralに登録されている情報と比較されます。バージョン情報はサポート・リクエストにも含める必要があります。

2b. イベントのエクスポートの方法

Procedure
  1. Log Activity タブをクリックします。
  2. Add Filter をクリックします。
  3. Log Source > Equals > 構文解析の問題が生じているログ・ソース名 を選択します。
    : もしログ・ソースがまだグループに割り当てられていない場合は、Other を選択して、グループ化されていない全てのログ・ソースを表示させます。
  4. Add Filter をクリックします。
    Log Activity タブに戻り、選択したログソースによってフィルターされたイベントが表示されます。
  5. View ドロップ-ダウンリストをクリックして、時間間隔を選択します。 例 : 7時間
  6. フィルターされたイベントの内容が該当の問題を含んでいるか確認します。
  7. ナビゲーション・メニューから、Actions > Export to XML > Full Export (All Columns)を選択します。
    : XML はイベント内容を確認するために最適なフォーマットです。
Results
XML イベント・エクスポートを添付して、サービス・リクエストに問題の詳細な説明を記述してください。

3. ハードウェアの問題発生時に収集すべき情報


3a. アプライアンスが IBM xSeries であるか Dell であるかの判断方法

一部の管理者はネットワーク内にアプライアンス・タイプが混在している環境を管理しています。ハードウェアの問題が発生した場合、QRadar Support に DSA ファイル (xSeries ハードウェア) を提供する必要があるかを判断するために、どのタイプのアプライアンスで作業しているかを理解するのに役立ちます。Dell のハードウェアは結果を示さない場合があります。

ハードウェア製造社を確認する方法 :
  1. SSH やターミナルを使用してアプライアンスに root ユーザーとしてログインします。
  2. ハードウェア製造社を確認するために次のコマンドを入力します : dmidecode -t system
  3. 画面に出力された製造社情報を確認します。

    出力の例:
    # dmidecode 2.12
    # SMBIOS entry point at 0x7f6be000
    SMBIOS 2.5 present.

    Handle 0x0030, DMI type 1, 27 bytes
    System Information
    Manufacturer: IBM
    Product Name: System x3650 M3 -[7945AC1]-
    Version: 00
    Serial Number: KQ35RWH
    UUID: 09E10B2B-16C9-3B91-888B-73C34F82FC1D
    Wake-up Type: Other
    SKU Number:
    Family: System x

3b. IBM xSeries アプライアンス : Dynamic System Analysis (DSA) レポートの実行方法
 

xSeries アプライアンスのハードウェアで問題が発生した場合は、DSA ユーティリティを実行して、ハードウェア・サポート・リクエストにてご連絡ください。

始める前に : QRadar アプライアンスは DSA ユーティリティーがインストールされた状態で出荷されます。もし、"This system is not supported by this version of DSA" メッセージが出力された場合には、ご使用のアプライアンスでは更新されたビルドの DSA が必要になる場合があります。ご使用のアプライアンスに関する DSA ユーティリティーの正しい更新については次のリンクを参照してください。

Versions of the DSA utility required for my QRadar Appliance
 
Procedure
  1. SSH を使用して、ハードウェア・エラーが発生したリモート QRadar アプライアンスにログインします。
    : 始めに Console に SSH 接続して、続いてデプロイメント内の管理対象ホストに SSH セッションを開いてください。
  2. support にディレクトリーを移動するために次のコマンドを入力します :cd /opt/qradar/support
  3. DSA ユーティリティーのパーミッションを確認するために次のコマンドを入力します : ls -l *dsa*
    パーミッションが "rw-r-r-" の場合には、DSA ユーティリティーを実行するためにパーミッションを変更する必要があります。
  4. パーミッションを変更するために次のコマンドを入力します : chmod 755 <DSA_build>_x86-64.bin
  5. アプライアンスで DSA レポートを実行するために次のコマンドを実行します : ./<DSA_build>_x86-64.bin
  6. DSA ユーティリティーは、マシン・タイプ_シリアル・ナンバー_date.xml.gz という形式で .gz ファイルを /var/log/IBM_Support に作成します。
    例 : /var/log/Lenovo_Support/7944AC1_KQ97NYC_20150927-163515.xml.gz
  7. ファイルをリモート・ホストにコピーします。
  8. サポート・チケットにログを添付します。
: ご使用のシステムが起動しない場合は、次のセクション (3c) の非ブート・アプライアンスの指示に従ってください。

3c. IBM xSeries アプライアンス : 起動しないアプライアンスにおける Dynamic System Analysis (DSA) レポートの実行方法


xSeries アプライアンスでハードウェアの問題が発生している場合は、DSA ユーティリティーを実行して、ハードウェアのサポート・リクエストにてご連絡ください。以下の手順は、正常に起動しないアプライアンスでハードウェア・レポートを収集する方法について説明します。このハードウェア・レポートはサービス・リクエスト時に必ず必要となります。ハードウェアまたはソフトウェアの問題が原因でサスペンドまたはフリーズしたアプライアンスの場合にはこの手順に従ってください。
 
手順
  1. QRadar アプライアンスを再起動します。
  2. F2 を選択してdiagnosticsに入ります。
  3. メモリー・テストが開始された場合には、 ESC キーを押して停止します。
  4. メニューが表示されたら、矢印を Quit に合わせ、Quit to DSA を選択します。
  5. コマンドラインオプションを選択します : CMD.
  6. Fat 32 フォーマットの USB フラッシュ・ドライブを挿入します。出力ファイルは、通常 1MB 未満です。
  7. オプションを指定せずに collect を選択します。オプション 1 を指定した場合は DSA ダイアグノスティクスが収集されます。
  8. 2 回完了した後に、exit して前のメニューに戻ります。
  9. copy to local media オプションを選択します。
  10. USB フラッシュ・ドライブが認識されない場合には再接続して再度試してください。それでも認識しない場合は別の USB デバイスを使用してください。
: DSA は時々その起動や実行に長い時間がかかることがあるため、DSA プログラムが機能していないように見える場合があります。しかしながら、このプロセスを中断しないでください。USB フラッシュ・ドライブに書き込む前の情報収集とレポートが完了するまでに 5 分ほどかかる場合があります。

結果
アプライアンスのデータが収集されるとファイルは USB フラッシュ・ドライブに保存されます。USB ドライブにファイルが書き込まれるプロセスは数秒程度です。



3d. ハード・ディスク以外の問題における IMM ログの実行方法


xSeries アプライアンスでハード・ディスク以外のハードウェアの問題が発生した場合は IMMDSA ユーティリティーから Download Service オプションを実行して、DSA に加えて取得したファイルを ハードウェア・サポート・リクエストを使用して送信します。この手順は次の Lenovo のリンクをご参照ください :


3e. Dell アプライアンス : Dell Hardware Case の開き方と iDRAC を使用したログの生成方法

Dell アプライアンスのハードウェアの問題が発生した場合は、integrated Dell Remote Access Controller (iDRAC) カードを使用してシステム・レポートを生成します。管理者はレビューのためにシステム・レポートを QRadar Support に送信できます。QRadar Support が Dell のハードウェア問題をレビューするには次の内容が必要です。
  1. ハードウェア問題の詳細
  2. エラー・メッセージのテキストまたはスクリーンショット
サポート担当者はあなたが希望する方法を使用して連絡します。チケットをオープンした際に連絡できない場合には、サポート担当者がメッセージを残すか、またはお客様にてケースの説明に二次連絡先を含めることができます。ログや追加の情報が必要な場合にはチケットが更新され、詳細とともにステータスが *Awaiting your Feedback* に変わります。この手順について質問がある場合は、フォーラムで質問することができます。ibm.biz/qradarforums.
integrated Dell Remote Access Controller (iDRAC) を使用してログを生成する方法は次の Dell のリンクを参照してください :

4. WinCollect エージェントに関する問題発生時に収集すべき情報

WinCollect エージェントの問題発生時には、サポート・チケットにて次の情報を提供してください。
 
Providing a problem description
  1. 問題の詳細、Windows オペレーティングシステム、および影響を受けているホスト名または IP アドレス。

    例 :
    • 私は、Windows Server2008 R2 の4台の Hyper-V コンピュータからイベントを収集する問題を抱えています。
      WinCollectエージェント名は _____ で、イベントを収集したいサーバーのホスト名は、hostA(1.1.1.1)、hostB(1.1.1.2)、hostC(1.1.1.3)、およびhostD(1.1.1.4) です。
      これらの Windows システムは DMZ 内にあります。
    • 私は、WinCollect のログ・ソース・バルク追加機能を使用して、250 個のログ・ソースを追加しましたが、最近になってイベント送信が停止しました。
      最後のイベント時間および WinCollect エージェント名は _____ で、調査したいログ・ソースは、hostA(1.1.1.1)、hostB(1.1.1.2)、hostC(1.1.1.3)、および hostD(1.1.1.4) です。
      これがログ・ソース設定の画面キャプチャです。
    • コマンドライン・インストーラーを使用してホスト X に新しい WinCollec tエージェントをインストールしましたがうまく動きません。
      何回か試してみましたが、WinCollect エージェントがログ・ソースを自動作成しません。
      私が使用したインストール・コマンドのテキスト・ファイルを添付しました。WC_install.txt を参照してください。
  2. WinCollect エージェントの /config および /logs ディレクトリが含まれている zip ファイル。
手順
  1. WinCollect エージェント・ホストの Windows オペレーティング・システムにログインします。
  2. Start > All Programs > Administrative tools > Services をクリックします。
  3. WinCollect サービスを選択します。
  4. Stop をクリックします。
  5. Start > All Programs > Accessories > Windows Explorer をクリックします。
  6. WinCollect のインストール・ディレクトリに移動します。デフォルトのパスは C:\Program Files\IBM\WinCollect です。
  7. 複数のフォルダを選択するため、 Ctrl キーを押しながら config と logs のフォルダを選択します。
  8. 選択したフォルダの1つを右クリックして、Send to > Compressed (zipped) folder を選択します。
  9. サポート・チケットにログを添付します。

5. イベント・パイプラインに関する問題発生時に取得すべき情報

両方のコマンドを実行します。

  /opt/qradar/support/findExpensiveCustomProperties.sh  /opt/qradar/support/findExpensiveCustomRules.sh

次のフォーマットで実行したディレクトリーに出力されます。getlogs とともに case にアップロードしてください。
Custom(Properties|Rules)-{date}-(..).tar.gz.

[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"General Information","Platform":[{"code":"PF016","label":"Linux"},{"code":"PF033","label":"Windows"}],"Version":"7.1;7.2","Edition":"All Editions","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
11 February 2021

UID

swg21994597

Page Feedback