IBM Support

Qradar : アプリケーション・エラーによるログ確認手順について

Troubleshooting


Problem

下記ではアプリケーション・ログを確認するための手順をご案内しています。また、 IBM QRadar サポートより特定のログのご提供を依頼する場合がございます。
注 : 事象あるいはイベント・ログの検索を行う際、検索する内容を探し出すために役立つことがいくつかあります。
  1. 事象が発生した時間と日付を確認してください。ログのタイムスタンプを検索します。
  2. もし、ポップアップのエラー・メッセージがあれば確認してください。下記は例となります。
     
    レスポンス・コード レスポンス・メッセージ 要因
    200201 Success

    アプリケーションは正常に取得、作成あるいは更新されました。

    204 Success

    アプリケーションは正常に削除されました。

    正常にアプリケーションが削除された場合、 204 のレスポンス・コードとコンテンツが無いことを返します。

    404 NOT_FOUND - Could not find the resource requested

    アプリケーションは削除されたか、存在しません。

    アプリケーション ID が正常ではない可能性があります。

    500 SERVER_ERROR - Unexpected internal server error

    アプリケーションがインストールあるいは更新できません。アプリケーションは停止します。しかし、削除はできません。

    本事象のトラブルシューティング :
    • コンテナが動作しているか確認してください。
    • アプリケーションが必要なファイルを全て持っていることと、それらのファイルが有効であることを確認してください。
    • アプリケーションが SDK を使用する時、正常に動作するか確認してください。
  3. warning 、 failed 、 error 、 ERROR 、 service name 、 hostname 、 IP address あるいは app_framework に該当するキーワードをログで検索してください。

Resolving The Problem

Qradar アプリケーションは docker コンテナ内で実行され、各アプリケーションはそれぞれセットでログを持っています。
これらは下記 2 つの方法でアクセスすることができます。
  1. Docker コンテナに接続するには、「 recon 」といった既存の Qradar サポート・スクリプトを活用することができます。
    recon については、リンク内の情報をご参照ください。
    1. SSH を使用して、 root ユーザーとして Qradar コンソールにログインします。
      注 :
      下記のコマンドは、アプリケーションが動作しているホスト上で実行します。アプリケーション・ホストが動作している場合、コマンドを実行するために SSH 接続が必要です。
    2. 動作している全てのアプリケーションと 4 桁のアプリケーション ID を表示させます。
      ( コンソールで実行、あるいはアプリケーション・ホストがインストールされている場合は、アプリケーション・ホストで実行します。 )
          # /opt/qradar/support/recon ps
    3. アプリケーション Docker コンテナに接続してください。
          # /opt/qradar/support/recon connect <app_id >
    4. コンテナ内にあるログ・ディレクトリへ移動してください。
          # cd store/log/
      sh-4.1# ls
      app.log  app.log.1  celery.log  celerybeat.log  gunicorn.log  startup.log  supervisord.log
  2. コンソールあるいはアプリケーション・ホスト(インストールした場合)上のアプリケーション・ログのマウント場所へ直接アクセスしてください。
    1. SSH を使用して、 root ユーザーとして Qradar コンソールにログインします。
      注 :
      下記のコマンドは、アプリケーションが動作しているホスト上で実行します。アプリケーション・ホストが動作している場合、コマンドを実行するために SSH 接続が必要です。
    2. 動作している全てのアプリケーションと 4 桁のアプリケーション ID を表示させます。
      ( コンソールで実行、あるいはアプリケーション・ホストがインストールされている場合は、アプリケーション・ホストで実行します。 )
           # /opt/qradar/support/recon ps
    3. アプリケーション・ログがマウントされたディレクトリへ移動します。
           # cd /store/docker/volumes/qapp-<app_id>

    アプリケーション機能やどのサービス(パッケージ)が活用されるかにより、アプリケーション・ログは互いに異なりますが、ほとんどのアプリケーションで一般的に存在するアプリケーション・ログは下記のとおりです。

    app.log
    ユーザーが UI 上でアクションを実行、あるいはアプリケーションの現状況のログが含まれます。
    ボタンをクリックしようとするなどといった、 UI による問題をデバッグするのに役立ちます。
    # less /store/docker/volumes/qapp-<app_id>/log/app.log
    startup.log
    アプリケーション起動時のログになります。 rpms あるいは python モジュールがインストールに失敗した時のエラーが表示されます。
    # tail /store/docker/volumes/qapp-<app_id>/log/startup.log
    poll.log
    バックグラウンド・プロセスのログは、バックグラウンド・プロセスに問題がある時に役立ちます。
    # more /store/docker/volumes/qapp-<app_id>/log/poll.log

Document Location

Worldwide

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000GnbvAAC","label":"QRadar->Apps"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.3.0","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
31 July 2020

UID

ibm16245280