IBM Support

QRadar:WinCollect のトラブルシューティング: RPC サーバーが利用できません。エラーコード 0x06BA

Question & Answer


Question

WinCollect エージェントで RPC の問題をトラブルシューティングする方法

Cause

この問題について
エラーメッセージは通常、監視対象のリモートマシンが再起動されているとき、または単にネットワーク上にないときに表示されます。 WinCollect マシン自体がネットワーク接続を失うか、 DNS 経由で検出できない場合、多数の RPC サーバー使用不可メッセージがエラーログに表示される可能性があります。このエラーメッセージは、ポーリング対象のホストが仮想環境にインストールされている場合にも表示されることがあります。これは、仮想マシンがデフォルトの電源管理プロファイルでセットアップされており、 WinCollect エージェント休止状態になっており接続できないことが原因です。

エラーメッセージ
<13>Apr 17 10:54:41 myhostname.com LEEF:1.0|IBM|WinCollect|7.2|4|src=myhostname.com dst=10.10.10.10 sev=5 log=Device.WindowsLog.EventLogMonitor msg=Failed to open event log myhostname.com [myhostname.com:Security]; will try again in approx 60 seconds. Reason: Error code 0x06BA: The RPC server is unavailable.

このエラーに「インターフェイスが見つかりません」という別のエラーが伴う場合は、リモートマシンまたは WinCollect マシンのいずれかが VM 環境で再起動または休止状態になっている可能性があります。

RPC server is unavailable メッセージの最も一般的な原因
この記事は、次の場合に当てはまります。

  1. 他の Windows システムからのイベントをリモートでポーリングする WinCollect ログソースがあるが、リモートホストに到達できない。
  2. WinCollect ログソースがあり、 [ ローカルシステム ] チェックボックスがオンになっていて、ログソースに解決できないホスト名があるか、 [ ログソース ID ] フィールドで短い形式のホスト名の代わりに FQDN を使用している(以下の解決策1を参照)。
  3. WinCollect ログソースが IP アドレス、ホスト名を解決できないクラウド環境またはネットワーク環境がある場合、またはネットワークデバイスがポート/トラフィックをブロックしている。
  4. イベントを収集するためのサービスが Windows ホストで開始されていない。

Answer

解決策1.ログソースは、ログソースIDの正しいIPアドレスまたはホスト名で構成されていますか?

Log Source Identifier フィールドには、IPアドレスまたは hostmane のいずれかを入力する必要があります。 Windows システムをリモートでポーリングする場合、ログソース構成に個別のドメインフィールドがあるため、リモートポーリングイベントの[ログソース ID ]フィールドで FQDN myhostname.domain.com を使用しないでください。たとえば、フィールドはホスト名または IP アドレスの短い形式を想定しているため、 ¥¥myhostname.domain.com は RPC エラーメッセージを生成します。

  • 正しくないログソースID値を訂正する

    • Hostname
    • IP address
    • ¥¥myhostname
    • myhostname.domain.com (これは、 [ ローカルシステム ] チェックボックスが選択されている場合にのみ OK です。)


:エージェントは、自動更新でリモートエージェントのログソースを更新できるように構成する必要があります。エージェントの構成情報ポーリング間隔によって、エージェントがコンソールからログソースとソフトウェアの更新を要求する頻度が決まります。ログソースの更新を保存して [ ログソース ID ] フィールドを修正した後、 [ 保存 ] をクリックし、構成間隔が経過するのを待つと、リモート WinCollect エージェントが更新されます。
Automatic updates must be true to receive log source configuration updates from the console.

解決策2.リモートシステムのステータスを確認します

リモートシステムの電源がオンになっているか、ネットワーク上で利用可能ですか、それともリモートシステムが休止状態になっていませんか?

解決策3.リモートシステムで正しいサービスが有効になっていることを確認します

WinCollect エージェントがエラーをログに記録している場合、管理者は RPC に必要なサービスがリモートシステムで有効になっていることを確認できます。

手順

  1. リモートシステムにログインします。
  2. [スタート ]>[ プログラム ]>[ 管理ツール ] を選択し、 [ サービス ] をクリックします。
  3. [ ステータス ]列に、 Remote Procedure Call(RPC) サービスに [ 開始済み ] と表示されている必要があります。
  4.  [ステータス ]列に、 Remote Registry service に [ 開始済み ] と表示されている必要があります。

解決策4.ログソース内のユーザーに正しいユーザー権限の割り当てが含まれていることを確認します

ログソースで定義されたユーザーには、監査およびセキュリティログを管理する機能が含まれている必要があります。

手順

  1. リモートシステムにログインします。
  2. [ スタート ] > [プログラム ]>[ 管理ツール ] を選択し、[ローカルセキュリティポリシー ]をクリックします。
  3. ナビゲーションメニューから、 [ ローカルポリシー ]>[ ユーザー権利の割り当て ]を選択します。
  4. [ 監査とセキュリティログの管理 ] を右クリックして、 [ プロパティ ] を選択します。
  5. [ ローカルセキュリティ設定 ] タブをクリックし追加ユーザーまたはグループのローカルセキュリティポリシーに WinCollect ユーザーを追加します。

Windows ホストからログオフし、 WinCollect ログソースを使用してホストの Windows イベントをリモートでポーリングしてみます。

WinCollect ログソースのイベントを収集できない場合は、グループポリシーがローカルポリシーを上書きしていないことを確認できます。Windows ホストのローカルファイアウォール設定でリモートイベントログ管理が許可されていることを確認することもできます。
または、ドメイン管理者の資格情報を使用してログソース構成を更新して、問題がアクセス許可に関連しているかどうかを判断することもできます。ドメイン管理者の資格情報も拒否されている場合、問題はネットワークに関連している可能性があります。

解決策5.リモートシステムでイベントビューアを開くことができることを確認します

別の Windows ホストでイベントをリモートでポーリングしている場合は、 WinCollect エージェントを実行しているシステムからイベントビューアをリモートで開くことができます。

手順

  1. WinCollect エージェントがローカルにインストールされている Windows ホストにログオンします。
  2. [ スタート ]>[ プログラム ]>[ 管理ツール ] を選択し、 [ イベントビューア ] をクリックします。
  3. [ アクション ]>[ 別のコンピューターに接続 ] をクリックします。
  4. [ 別のコンピューター ] オプションを選択し、イベントをリモートでポーリングするサーバーのIPアドレスまたはホスト名を入力します。
  5. [ 別のユーザーとして接続する ] チェックボックスをクリックします。
  6. [ ユーザーの設定 ] をクリックします。
  7. [ ユーザー名 ] フィールドに、ログソース構成で指定したユーザーのドメイン\ユーザー名を入力します。たとえば、test.qradar.com¥JohnDoe
  8. ユーザーのパスワードを入力し、 [ OK ] をクリックします。
     

次の手順

リモートホストでイベントビューアをリモートで表示できない場合は、 RPC サーバーが利用できませんというメッセージが表示されます。

管理者は、指定したホスト名または IP アドレスのコマンドラインから nslookup を完了することができます。 nslookup は、イベントビューアへのリモート接続を試行するために使用できるホスト名または FQDN (完全修飾ドメイン名)を提供する必要があります。

手順
1. [ スタート ]>[ ファイル名を指定して実行 ] をクリックし、 cmd と入力して、 Enter キーを押します。
2.コンピューターの DNS エントリを確認するには、次のコマンドを入力します。 nslookup %computername%
3。結果が予期しない IP アドレスまたは名前を返す場合は、 DNS サーバーで競合する IP 情報を修正する必要がある場合があります。

注:この問題が DNS サーバーとシステムの場所に関連している可能性があると思われる場合は、 ActiveDirectory サーバーの nslookup を実行できます。表示するには、 Active Directory サーバーで nslookup ad やnslookup ad.domain.nameと結果を比較します。

4.  DNS サーバーがゾーン内にない場合、またはルックアップが正しく解決されない場合は、 [ActiveDirectory ルックアップを有効にする ] チェックボックスを使用します。
5. Active Directory Lookup を完了するためにサーバーを指定するには、 Active Directory の検索を入力し、ドメイン名コントローラーフィールドにドメインコントローラの IP アドレスまたは FQDN を上書きします。
6.ホストの DNS ルックアップを完了するサーバーを指定するには、 [DNS ドメイン名の上書き ] フィールドにドメインコントローラーの IP アドレスまたは FQDN を入力します。

リモートシステムのイベントビューアに正常に接続できた場合は、ログソースの構成が正しいこと、および [ ログソース ID] フィールドにリモートシステムのイベントビューアへの接続に使用されるホスト名または FQDN が含まれていることを確認する必要があります。
 

解決策6.必要なポートが Windows ホストで開いていること、およびリモートイベントログ管理が許可されていることを確認します

エージェントとイベントのポーリングが行われているシステムの間にあるすべてのファイアウォールは、次のポートでの通信を許可する必要があります。

Windows ファイアウォールでリモートイベントログ管理が許可されていることを確認するには、次の手順に従います。
 

手順

  1. リモートシステムにログインします。
  2.  [ スタート ]>[ プログラム ]>[ 管理ツール ] を選択し、 [ セキュリティが強化された Windows ファイアウォール ] をクリックします。
  3.  [ インバウンドルール ] をクリックします。
  4. すべてのリモートイベントログ管理ファイアウォールルールについて、 [ 有効 ] 列に [ はい ] と表示されていることを確認します。
  • TCP port 135 Microsoft Endpoint Mapper
  • UDP port 137 NetBIOS name service
  • UDP port 138 NetBIOS datagram service
  • TCP port 139 NetBIOS session service
  • TCP port 445 Microsoft Directory Services for file transfers that use a Windows share

注: ポートがリッスンしているかどうかを確認するには、管理者は次のコマンドを入力することができます:
netstat -an | find "port#"

QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。


[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"WinCollect","Platform":[{"code":"PF033","label":"Windows"}],"Version":"7.3.1;7.3;7.2.8;7.2","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
16 October 2020

UID

ibm16347518

Page Feedback