How To
Summary
WinCollect エージェントを管理するために 8413 以外のポートを使用するよう QRradar をどのように構成しますか?
Objective
QRadar アプライアンス ( イベント・コレクター 、イベント・プロセッサー、コンソール ) は、構成やソフトウェア・アップデートを管理対象 WinCollect エージェントに送るのに TCP のポート 8413 ( デフォルト ) を使用します。会社のセキュリティー・ポリシーによっては、ネットワーク難読化戦略としてネットワーク管理者がデフォルトのポート番号を使用できない場合があります。WinCollect が使用しているデフォルトのポートを変更する必要がある場合、管理者は「 Port 」の値を変更することで WinCollectConfigServer.vm ファイルを編集できます。 WinCollectConfigServer.vm ファイルは、QRadar が管理対象 WinCollect エージェントと通信するのに使用する WinCollect 構成サーバーのプロトコル用の設定を含んでいます。
Steps
始める前に
- 重要 : WinCollect エージェントが導入済みホストにアクセスできない場合、この手順を始めないでください。ポート番号が WinCollect エージェントと QRadar アプライアンス上に定義されています。 .vm ファイルのポート番号を変更する場合、管理対象 WinCollect エージェントが一致するポート番号を使用するように更新されるまでログ・ソースの受信またはソフトウェアの更新を行わないようにできます。5,000台の WinCollect エージェントをデプロイする管理者は、管理対象 WinCollect エージェントの通信を復元するために、各エージェント上の C:¥Program Files¥IBM¥WinCollect¥config¥install_config.txt のファイルを編集する必要があります。
- 重要 : WinCollectConfigServer.vm ファイルのポート・パラメーター以外の値を変更すると修復不能な問題を引き起こす恐れがあります。
- アップグレードに関するお知らせ : QRadar コンソールを WinCollect SFS ファイルの最新バージョンでアップグレードする場合、管理対象エージェントと通信するための WinCollect のデフォルトの TCP ポート番号は 8413 です。 WinCollect のバージョンのアップグレード後指定したポート番号による WinCollect の管理通信を復元するためにこの手順を繰り返す必要があります。
- この手順は、計画保守期間内にサービスの再始動が求められている管理者を対象としています。
- どのような変更を行う前にも、 WinCollect 構成ファイルのバックアップを作成してください。この手順には、 WinCollectConfigServer.vm ファイルをコピーするためのコマンドを含んでいます。
- この技術文書中の手順に不明点がある場合は、いつでも支援を受けるために QRadar サポート へ問合せをすることができます。
手順
- SSH を使用して root ユーザーとしてコンソールにログインします。
- 以下のディレクトリーに移動します : /opt/qradar/conf/templates/configservices/pluggablesources/
- 始める前に WinCollectConfigServer.vm ファイルのバックアップを作成するために、以下のようにコマンドを入力します :
cp /opt/qradar/conf/templates/configservices/pluggablesources/WinCollectConfigServer.vm /root/WinCollectConfigServer_old.vm - ファイルを編集するために、以下のようにコマンドを入力します :
vim WinCollectConfigServer.vm - ファイルを挿入モードで編集するために、 i キーを押します。
- 許可キーを使用して、ポート・パラメーターを更新します。
例えば、 TCP にポート5140 を指定している場合 :<parameter type="Port">5140</parameter> - 挿入モードから戻るには Esc キーを押します。
- 変更を保管するには、
:wqと入力して Enter キーを押します。 - 管理者として QRadar 画面にログインします。
- 管理タブをクリックして、拡張からすべての構成のデプロイを選択します。
- 警告 : 「すべての構成のデプロイ」が完了する際に、デプロイメントにおいて QRadar 管理対象ホスト上のサービスが再始動します。 管理者が計画保守の期間中にすべての構成のデプロイを完了することを推奨します。 QRadar のバージョンに依存しますが、サービス再始動の最中にイベントとフローの収集が一時的に中断します。
- プロンプトが表示されたら、継続する をクリックします。すべての構成のデプロイが完了すると、QRadar アプライアンス上でデフォルトのポート番号が更新されます。
- 管理者は、 WinCollect エージェントにリモート・デスクトップ (RDP) 機能で接続する必要があります。
- Windows™ キーを押しながら R キーを押します.
- 実行用バーにて、次のように入力します :
services.msc. - WinCollect サービスを停止します。
- いづれかのテキスト・エディタで、ファイル C:¥Program Files¥IBM¥WinCollect¥config¥install_config.txt を編集します。
- ConfigurationServerPort フィールドで、指定したポート番号を入力します。
例えば、ConfigurationServerPort=5140 - 変更を保管します。
- WinCollect サービスを開始します。
結果
WinCollect サービスが開始すると、 QRadar アプライアンスと WinCollect エージェントは指定したポート番号で通信できます。
WinCollectConfigServer.vm のデフォルト値
<source objectId="Q1_WinCollectConfigServer" stdout="Processor1" type="Q1_WinCollectConfigServer_Type">
<parameter type="Enabled">true</parameter>
<parameter type="Name">$ECConfigBuilder.getEcId()</parameter>
<parameter type="Port">8413</parameter>
<parameter type="SSLProtocols">TLSv1 TLSv1.1 TLSv1.2</parameter>
<parameter type="DisabledCipherSuites"></parameter>
<parameter type="CoreThreads">50</parameter>
<parameter type="QueueSize">50</parameter>
<parameter type="MIAScanEvery">900</parameter>
<parameter type="DirtyScanEvery">300</parameter>
</source> install_config.txt の「 ConfigurationServerPort 」のデフォルト値の例
ApplicationIdentifier=LAPTOP-EXAMPLE
ConfigurationServer=10.10.10.10
ConfigurationServerPort=8413
ConfigurationServerMinSSLProtocol=TLSv1
ConfigurationServerMaxSSLProtocol=TLSv1.2
StatusServer=10.10.10.10
ApplicationToken=11111111-1111-1111-1111-111111111111
BuildNumber=91
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"WinCollect","Platform":[{"code":"PF016","label":"Linux"},{"code":"PF033","label":"Windows"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
31 May 2020
UID
ibm16153855