Troubleshooting
Problem
下記ではアプリケーション・ログを確認するための手順をご案内しています。また、 IBM QRadar サポートより特定のログのご提供を依頼する場合がございます。
注 : 事象あるいはイベント・ログの検索を行う際、検索する内容を探し出すために役立つことがいくつかあります。
-
事象が発生した時間と日付を確認してください。ログのタイムスタンプを検索します。
-
もし、ポップアップのエラー・メッセージがあれば確認してください。下記は例となります。
レスポンス・コード レスポンス・メッセージ 要因 200, 201 Success アプリケーションは正常に取得、作成あるいは更新されました。
204 Success アプリケーションは正常に削除されました。
正常にアプリケーションが削除された場合、 204 のレスポンス・コードとコンテンツが無いことを返します。
404 NOT_FOUND - Could not find the resource requested アプリケーションは削除されたか、存在しません。
アプリケーション ID が正常ではない可能性があります。
500 SERVER_ERROR - Unexpected internal server error アプリケーションがインストールあるいは更新できません。アプリケーションは停止します。しかし、削除はできません。
本事象のトラブルシューティング :- コンテナが動作しているか確認してください。
- アプリケーションが必要なファイルを全て持っていることと、それらのファイルが有効であることを確認してください。
- アプリケーションが SDK を使用する時、正常に動作するか確認してください。
-
warning 、 failed 、 error 、 ERROR 、 service name 、 hostname 、 IP address あるいは app_framework に該当するキーワードをログで検索してください。
Resolving The Problem
Qradar アプリケーションは docker コンテナ内で実行され、各アプリケーションはそれぞれセットでログを持っています。
これらは下記 2 つの方法でアクセスすることができます。
-
Docker コンテナに接続するには、「 recon 」といった既存の Qradar サポート・スクリプトを活用することができます。recon については、リンク内の情報をご参照ください。
-
SSH を使用して、 root ユーザーとして Qradar コンソールにログインします。注 :下記のコマンドは、アプリケーションが動作しているホスト上で実行します。アプリケーション・ホストが動作している場合、コマンドを実行するために SSH 接続が必要です。
-
動作している全てのアプリケーションと 4 桁のアプリケーション ID を表示させます。( コンソールで実行、あるいはアプリケーション・ホストがインストールされている場合は、アプリケーション・ホストで実行します。 )
# /opt/qradar/support/recon ps
-
アプリケーション Docker コンテナに接続してください。
# /opt/qradar/support/recon connect <app_id >
-
コンテナ内にあるログ・ディレクトリへ移動してください。
# cd store/log/ sh-4.1# ls app.log app.log.1 celery.log celerybeat.log gunicorn.log startup.log supervisord.log
-
-
コンソールあるいはアプリケーション・ホスト(インストールした場合)上のアプリケーション・ログのマウント場所へ直接アクセスしてください。
-
SSH を使用して、 root ユーザーとして Qradar コンソールにログインします。注 :下記のコマンドは、アプリケーションが動作しているホスト上で実行します。アプリケーション・ホストが動作している場合、コマンドを実行するために SSH 接続が必要です。
-
動作している全てのアプリケーションと 4 桁のアプリケーション ID を表示させます。( コンソールで実行、あるいはアプリケーション・ホストがインストールされている場合は、アプリケーション・ホストで実行します。 )
# /opt/qradar/support/recon ps
-
アプリケーション・ログがマウントされたディレクトリへ移動します。
# cd /store/docker/volumes/qapp-<app_id>
アプリケーション機能やどのサービス(パッケージ)が活用されるかにより、アプリケーション・ログは互いに異なりますが、ほとんどのアプリケーションで一般的に存在するアプリケーション・ログは下記のとおりです。
app.logユーザーが UI 上でアクションを実行、あるいはアプリケーションの現状況のログが含まれます。ボタンをクリックしようとするなどといった、 UI による問題をデバッグするのに役立ちます。# less /store/docker/volumes/qapp-<app_id>/log/app.log
startup.logアプリケーション起動時のログになります。 rpms あるいは python モジュールがインストールに失敗した時のエラーが表示されます。# tail /store/docker/volumes/qapp-<app_id>/log/startup.log
poll.logバックグラウンド・プロセスのログは、バックグラウンド・プロセスに問題がある時に役立ちます。# more /store/docker/volumes/qapp-<app_id>/log/poll.log
-
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000GnbvAAC","label":"QRadar->Apps"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.3.0","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
31 July 2020
UID
ibm16245280