IBM Support

Qradar : " The Event Hub Connection String contained an illegal entity. Unable to connect to the host " のエラーメッセージについて

Troubleshooting


Problem

 Microsoft™ Azure Event Hub ログ・ソースが、下記のメッセージを出力して処理を停止します。
「 The Event Hub Connection String contained an illegal entity. Unable to connect to the host. 」
 

Symptom

 Microsoft™ Azure Event Hub ログ・ソースがエラー状態となり、イベントを収集しません。

Cause

この事象は、プロトコルの新しいバージョンがある状況で、自動更新が旧バージョンのインストール・スクリプトを実行したことが原因で発生します。

古い Azure JAR ファイルは、新しい RPM のインストールにより削除されません。

Environment

QRadar 7.3.1, 7.3.2, 7.3.3, 7.4

Diagnosing The Problem

 /var/log/qradar.log 内の下記のエラー・メッセージを確認する必要があります。

Jun 19 19:32:36 ::ffff:10.10.10.10 [ecs-ec-ingress.ecs-ec-ingress] [Thread-1072] java.lang.NoSuchMethodError: com/microsoft/azure/eventhubs/ConnectionStringBuilder.getEventHubName()Ljava/lang/String; (loaded from file:/opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/azure-eventhubs-0.15.2.jar by sun.misc.Launcher$AppClassLoader@ad197aae) called from class com.q1labs.semsources.sources.microsoftazureeventhubs.host.MicrosoftAzureEventHubsHostRunner (loaded from file:/opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/q1labs_semsources_protocol_microsoftazureeventhubs.jar by sun.misc.Launcher$AppClassLoader@ad197aae).

Jun 19 20:13:15 ::ffff:10.10.10.10 [ecs-ec-ingress.ecs-ec-ingress] [Thread-98] java.lang.SecurityException: Signers of 'com.microsoft.azure.eventprocessorhost.EventProcessorHost$EventProcessorHostBuilder' do not match signers of other classes in package

Jul  20 20:30:58 ::ffff:10.10.10.10 [ecs-ec-ingress.ecs-ec-ingress] [Thread-177] com.q1labs.semsources.sources.microsoftazureeventhubs.MicrosoftAzureEventHubsSource: [ERROR] [NOT:0070003100][172.29.65.87/- -] [-/- -]There appears to be a configuration issue with the provider connection 'class com.q1labs.semsources.sources.microsoftazureeventhubs.MicrosoftAzureEventHubsProvider5972'.
  1. root 権限でコンソールの CLI へログインします。
  2. /opt/qradar/jars へ移動するため、下記の通り入力します。
  3. cd /opt/qradar/jars
  4. 全ての Azure JAR ファイルを検索するため、下記の通り入力します。 
     ls -l | grep -I azure
  5. 同じ名前の 2 つの JAR ファイルを見る必要がありますが、バージョン番号が異なります。下記は出力例です。 
    -rw-r--r-- 1 root   root     226843 Feb 21  2019 azure-eventhubs-0.15.2.jar
-rw-r--r-- 1 root   root     299552 Apr 22 15:45 azure-eventhubs-3.0.2.jar
-rw-r--r-- 1 root   root      70744 Feb 21  2019 azure-eventhubs-eph-0.15.2.jar
-rw-r--r-- 1 root   root     113329 Apr 22 15:45 azure-eventhubs-eph-3.0.2.jar
-rw-r--r-- 1 root   root     807866 Feb 21  2019 azure-storage-6.1.0.jar
-rw-r--r-- 1 root   root     822385 Apr 22 15:45 azure-storage-8.0.0.jar
-rw-r--r-- 1 nobody nobody    83477 Apr 22 15:45 q1labs_semsources_protocol_microsoftazureeventhubs.jar
-rw-r--r-- 1 nobody nobody     7537 Apr 22 15:45 q1labs_semsources_protocol_microsoftazureeventhubs_ui.jar

Resolving The Problem

  1. Fix Central へアクセスします。
  2. 最新の Microsoft Azure Event Hub RPM バージョンをダウンロードします。
  3. Qradar でインストールされた すべての Microsoft Azure Event Hub RPM を検索します。 
    rpm -qa | grep -i PROTOCOL-MicrosoftAzureEventHubs
  4. Qradar でインストールされた既存の Microsoft Azure Event Hub RPM をすべて削除します。 
    yum -y remove PROTOCOL-MicrosoftAzureEventHubs-7.X-X.noarch.rpm
  5. お好みのファイル転送ツールを使用して、 Qradar へ最新の Microsoft Azure Event Hub RPM バージョンを転送します。
  6. 新しい RPM をインストールします。 
    yum -y install PROTOCOL-MicrosoftAzureEventHubs-7.X-X.noarch.rpm
  7. Qradar ユーザー・インターフェースからすべての構成のデプロイを実施します。 
    systemctl restart tomcat
    重要 : すべての構成のデプロイを実行すると、サービスが再起動されます。サービスが再起動している間、イベント処理はサービスの再起動が完了するまで停止します。進行中のスケジュールされたレポートは、ユーザーによって手動で再起動する必要があります。計画外停止が厳しい管理者は、組織の計画保守の時間内のステップで完了させることを推奨します。
  8. ECS-EC-Ingress サービスの再起動を実施してください。 
    systemctl restart ecs-ec-ingress
    重要 : ECS-EC を再起動すると、サービスが再起動している間にイベント収集が一時的に停止することがあります。計画外停止が厳しい管理者は、組織の計画保守の時間内のステップで完了させることを推奨します。
  9. コンソール・ユーザー・インターフェースから Tomcat を再起動します。 
    systemctl restart tomcat
    重要 : tomcat サービスを再起動する時、すべてのユーザーが Qradar ユーザー・インターフェースを利用できなくなります。計画外停止が厳しい管理者は、組織の計画保守の時間内のステップで完了させることを推奨します。
              

Document Location

Worldwide

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000CbYBAA0","label":"ATS-SecIntel Backup->QRadar->Events->Log Source->Protocols"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
16 October 2020

UID

ibm16257027

Page Feedback