IBM Support

QRadar: コンソールと管理対象ホスト間のプロキシー構成が原因で変更のデプロイがタイムアウトになる事象について

Troubleshooting


Problem

 QRadar コンソールと管理対象ホストの間にプロキシーが構成されている場合、wget リクエストの失敗により、変更のデプロイおよび複製が失敗する場合があります。

Symptom

管理者は、管理対象ホストの変更のデプロイがタイムアウトするが、ローカル変換は管理対象ホストで正常に完了するという事象に遭遇します。
wget がアプライアンス間でブロックされている場合、 hostcontext サービスは「 Response is empty: 」というメッセージを複製後に報告します。
 QRadar アプライアンス・レポートで 「 Response is empty: 」 メッセージを確認するには、下記コマンドのいずれかを実行します。
systemctl status hostcontext
journalctl -xu hostcontext

Cause

wget のプロキシー構成は、コンソールと管理対象ホストの間の通信を中断する可能性があります。変更のデプロイおよび複製プロセスは、構成変更を取得するために wget を使用します。プロキシーがアプライアンスで有効になっている、または wget がネットワーク内のアプライアンスで制限されている場合、管理対象ホストは正常にデプロイされるために必要なファイルをダウンロードできずに、管理者にタイムアウト・メッセージが表示されます。

Environment

この事象は、管理対象ホストと QRadar コンソール間にプロキシーが構成されている場合に発生します。 Qradar on Cloud コンソール用のデータ・ゲートウェイ・アプライアンス間でプロキシーを使用するネットワークも影響を受ける可能性があります。

Diagnosing The Problem

  1. 管理対象ホストで wget リクエストが完了できるかどうかを確認するには、下記のコマンドを実行します。 
    wget --no-check-certificate --server-response "https://127.0.0.1/console/"
  2. プロキシーが接続をブロックしている場合は、下記のメッセージが画面に表示されます。
    --2020-05-16 13:18:55-- https://127.0.0.1/console/ Resolving proxyname.server.com (proxyname.server.com)... 192.0.2.100 Connecting to proxyname.server.com (proxyname.server.com)|192.0.2.100|:3128... connected. Proxy tunneling failed: Service UnavailableUnable to establish SSL connection.

    結果
    「 Proxy tunneling failed 」のメッセージは、 wget リクエストがプロキシーを経由してルーティングできていないことを示しています。プロキシー・サーバーの名前とポートは出力時に指定されます。プロキシーは SSL の問題が原因でリクエストを完了できません。

Resolving The Problem

この事象のワークアラウンドとして、下記いずれかの方法を実施してください。

方法 1 : プロキシーで Wget リクエストをホワイトリストに追加する

プロキシーがこのトラフィックをブロックしているため、 wget リクエストをプロキシーが通過させるためにホワイトリストへ追加します。これにより、トラフィックがプロキシーを経由して、 wget リクエストが処理できるようになります。

結果
デプロイの変更と複製で使用される wget リクエストが、プロキシーをバイパスして機能するようになります。

方法 2 : 全ての wget リクエストについてプロキシーをバイパスさせる

全ての wget リクエストについてプロキシーをバイパスさせるため、管理者はデフォルトのプロキシー設定を適用させず、 wget 構成を無効にするために QRadar アプライアンス上の wgetrc ファイルを編集します。 QRadar アプライアンスは、デフォルトで use_proxy = on に構成されていますが、この事象が発生した場合、管理者はこのオプションを無効にすることができます。

  1. SSH を使用して、 root ユーザーとして IBM QRadar にログインします。
  2. お客様環境により、デプロイに失敗した管理対象ホストに対して QRadar® コンソールから SSH セッションを開きます。
  3. /etc/wgetrc をテキスト・エディターで開くため、下記のコマンドを実行します。 
    vi /etc/wgetrc
  4. use_proxy 構成設定を見つけるため、下記のコマンドを実行します。 
    /use_proxy
    デフォルトでは、 wget の use_proxy 設定がオンになっています。
    # If you do not want to use proxy at all, set this to off.
    #use_proxy = on
  5. vi エディターで挿入モードを開始するには、「 i 」を押下します。
  6. use_proxy 設定を「 off 」に設定し、先頭のハッシュタグを削除してください。下記は例になります。 
    # If you do not want to use proxy at all, set this to off.
use_proxy = off
    注 : 前述の変更内容を管理対象ホストで有効にするためには、先頭のハッシュ・タグ ( # ) を削除する必要があります。
  7. Esc 」キーを押下して、挿入モードを終了します。
  8. 変更内容を保存するため、下記のコマンドを実行します。 
    :wq!
  9. 変更内容を反映させるため、下記のコマンドを実行し、 hostcontext プロセスをリスタートさせます。 
    systemctl restart hostcontext

Document Location

Worldwide

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000blOYAAY","label":"QRadar->Deployment->Deploys"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
09 October 2020

UID

ibm16220200

Page Feedback