IBM Support

QRadar: プライマリまたは Console アプライアンスとの時刻同期の失敗について

Troubleshooting


Problem

"プライマリーまたはコンソールとの時刻の同期が失敗しました" というシステム通知が出力された場合には、どのように対処すればいいですか?

Symptom

Console アプライアンスは、すべての管理対象ホストと時刻同期を行う役割があります。管理対象ホストは、10分毎に Console に時刻同期のリクエストを実施し、もしこの rdate (TCP/UDP 37) リクエストが失敗した時には、システム通知が生成されます。Console との時刻同期は QRadar にとっては重要です。時刻同期がされていない中での検索、レポート、そしてオフェンス動作は、正常に完了しなかったり、期待通りの値が得られないことがあります。

注釈: QRadar では時刻同期の間隔を変更することはできません。また、時刻同期に関する繰り返し発生するシステム通知については、システム管理者の確認が必要です。時刻同期に関する事象を調査する管理者は、ファイアウォールの内側の Console と他の管理対象ホストとの通信で、TCP/UDP ポート 37 が拒否されてないかを確認する必要があります。ネットワークの不具合事象についても確認し、ユーザーに対する潜在的な影響のためにも、この通知を素早く解決する必要があります。

/var/log/qradar.log に管理対象ホストで Console またはプライマリ・アプライアンスとの同期に失敗した旨のエラーメッセージがログされます。

June 26 11:20:11 127.0.0.1 [ERROR] [NOT:0150003100] Time Synchronization to Console has failed - rdate: timeout

ログのメッセージはループバック・アドレスで表示されますが、ダッシュボードでは同期に失敗した管理対象ホストの実アドレスが表示されます。

Cause

管理対象ホストでポートがブロックされているか、タイム・サーバーがConsole 以外で設定されている。検索、レポート、そしてオフェンスを正常動作させるためには、全ての管理対象ホストが Console と同期している必要があります。

Environment

QRadar 7.2.0 以降

Resolving The Problem

この事象を解決するために、システム管理者は以下の確認をします:

  1. ポート 37 がファイアウォールでブロックされてないかを、SSH を使用してリモートホストから Console のポート 37 へ接続する。 netcat を使用して、以下のコマンドを入力する:nc -zv 172.16.77.35 37

    もし接続できれば、TCP ポート 37 は open である。
  2. Console でポート 37 TCP/UDP (xinetd) が LISTEN 状態であることを確認する。QRadar Forensics システムでは、デフォルトの IP テーブルでポートの 37 が open でない場合があります。


  3. 管理対象ホストと QRadar Console との時刻の差を確認する。この方法は、両方のアプライアンスで date コマンドを使用するか、 support フォルダの all_servers スクリプトを使用する。

    以下の例では、全ての QRadar アプライアンスの時間を表示させるために、root ディレクトリ (/) から次のコマンドを入力する: ./opt/qradar/support/all_servers.sh -C "date"



    オプションの次のコマンドで、簡潔に表示も可能:


  4. 全てのホストを時刻同期を実施し、 Console との同期の失敗を確認するために、root ディレクトリ (/) から次のコマンドを入力する: ./opt/qradar/support/all_servers.sh "/opt/qradar/bin/time_sync.sh"

  5. 管理対象ホストの tunnelrdate サービス ( もし暗号化を使用している場合 ) とConsole の xinetd サービスを再起動する:
  6. 次のコマンドで tunnel サービスを再起動: ./opt/qradar/init/tunnel restart tunnelrdate
  7. 次のコマンドで xinetd サービスを再起動: service xinetd restart

結果

サービスの再起動後、システム通知 "プライマリーまたはコンソールとの時刻の同期が失敗しました" はクリアされますので、再度通知されるかを確認する。時刻同期は 10 分毎にチェックされる。


QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。

[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Admin Console","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
16 June 2018

UID

swg22002840

Page Feedback