IBM Support

QRadar: "Exception encountered when executing transaction" というエラー・メッセージでオフェンスの生成が停止する

Question & Answer


Question

 "Exception encountered when executing transaction" というエラーでオフェンスの生成や更新が停止する問題を解決するには?

Cause

サービスが正常に停止していなかったり、アップグレードに失敗したりするなど、特定の状況や不正なトランザクションが原因でオフェンス・データベース・モデルが破損することがあります。QRadar® がこの状態になっているときは、オフェンスは更新、作成されません。
エラーのスタック・トレースは、トランザクションに関連する問題の原因に基づいて変化しますが、スタック・トレースには常に
  "Exception encounted when executing transaction" で始まるメッセージが含まれています。

以下に、この種のエラーに含まれるスタック・トレースの例を示します。:
Jun 19 10:21:46 ::ffff:X.X.X.X [ecs-ep.ecs-ep] [MPC/PersisterThread@0000035761] com.q1labs.sem.magi.contrib.ModelPersister: [WARN] [NOT:0180002100][X.X.X.X/- -] [-/- -]Exception encounted when executing transaction 35761.
Jun 19 10:21:46 ::ffff:X.X.X.X [ecs-ep.ecs-ep] [MPC/PersisterThread@0000035761] com.q1labs.sem.magi.contrib.PersistenceException: Failed to persist sem model
例 2: 
Jul 13 02:15:50 ::ffff:x.x.x.x [ecs-ep.ecs-ep] [MPC/PersisterThread@0000000002] com.q1labs.sem.magi.contrib.ModelPersister: [WARN] [NOT:0180002100][x.x.x.x/- -] [-/- -]Exception encounted when executing transaction 2.
Jul 13 02:15:50 ::ffff:x.x.x.x [ecs-ep.ecs-ep] [MPC/PersisterThread@0000000002] java.lang.NullPointerException
例 3:
Jul 17 07:25:59 ::ffff:xxx.xxx.xxx.xxx [ecs-ep.ecs-ep] [MPC/PersisterThread@0000004985] com.q1labs.sem.magi.contrib.ModelPersister: [WARN] [NOT:0180002100][xxx.xxx.xxx.xxx/- -] [-/- -]Exception encounted when executing transaction 4985.
Jul 17 07:25:59 ::ffff:xxx.xxx.xxx.xxx [ecs-ep.ecs-ep] [MPC/PersisterThread@0000004985] java.lang.IllegalStateException: Cause already initialized

Answer

この問題を解決する方法はいくつかありますが、恒久的な解決策は 1 つだけです。:
  1. ecs-ep サービスを再起動すると( systemctl restart ecs-ep )、数分または数時間程度、問題は一時的に解決できますが、最終的には問題が再発します。
  2. ソフト・クリーンは、数日、あるいは数週間の間、問題を一時的に解決するオプションです。ソフト・クリーンとハード・クリーンの詳細については、次のドキュメントを参照してください。 QRadar documentation.
  3. この問題を恒久的に解決するために推奨される方法は、ハード・クリーンを実行することです。これにより、アクティブ / クローズドのオフェンスとともに、モデル内で破損しているものがすべて消去されます。 この手順を除いて、問題を解決するための他の方法はありません。

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwthAAA","label":"Offenses"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]

Document Information

Modified date:
04 September 2021

UID

ibm16353357

Page Feedback