IBM Support

QRadar: アプリケーションがエラー状態またはユーザー・インターフェースに表示されないまま起動する事象について

Troubleshooting


Problem

管理者またはユーザーが QRadar® コンソールにログインする時、タブまたはアプリケーションのコンテンツがユーザー・インターフェース (以降 UI ) 上に表示されていないことがあります。 この技術情報の手順は、アプリケーションが起動しないまたはエラー状態といった一般的な事象、およびそれらを解決する方法について説明します。

Symptom

以下の状態は、アプリケーションが起動されない、またはエラーが原因で起動できないことを示します:
  • インストール済みのアプリケーションが、バナー内のタブに表示されない。
  • アプリケーションはタブに表示されるが、コンテンツに不正なゲートウェイ、404 エラー、出力画面とデータの欠落といったエラーが出力する。
  • Assistant アプリケーション・シールド (盾アイコン) が、UI のバナーに表示されない。
    image 6674
    例 1: Assistant アプリケーション・シールドが欠落し、User Behavior Analytics アプリケーションはゲートウェイ・エラーを表示しています。

Resolving The Problem

アプリケーションが起動しないまたはエラー状態の事象などを解消するには、いくつかの方法があります。アプリケーションを操作するには QRadar® Assistant アプリケーションが最も推奨される方法です。QRadar® UI で QRadar® Assistant アプリケーション・シールドが表示されない場合、管理者はこの事象を解消するため、以下セクションのいづれかの方法を行えます。QRadar 7.4 バージョンの場合、管理者は qappmanager ユーティリティーまたは API を使用できます。QRadar 7.4 のバージョンには、マルチテナント・インスタンスとエラー訂正機能といった拡張機能があります。QRadar® V7.3 では、管理者は アプリケーションを再起動するために API を使用する必要があります。

ヒント: インスタンスによって、アプリケーションは RUNNING のステータスを表示できますが、UI 上で正常に動作していない、または正常に表示されません。アプリケーションが動作していることを確認するには、管理者はアプリケーションを停止し、その後強制的にアプリケーションを読み込むように起動します。

QRadar Assistant アプリケーションでエラー状態となっているアプリケーションを起動する

QRadar Assistant アプリケーションを使用することで事象を解消します。

  1. admin ユーザーとして QRadar コンソールにログインします。
  2. QRadar Assistant アプリケーション・シールドをクリックします。
    image 6829
  3. Applications 」をクリックします。
  4. Manage 」をクリックします。
  5. Installed Extensions 内で、問題のあるアプリケーションを見つけます。
    注: 赤いバーは、アプリケーションがエラー状態または停止していることを示しています。
    image 6836
  6. Options 」列で、省略符号 (...) をクリックしてメニューを開きます。
  7. Start All Instances 」をクリックします。
結果
アプリケーション・インスタンスが起動し、成功した場合はバーが赤から青に変わります。
image 6834

 qappmanager ユーティリティーでアプリケーションを起動する方法 (拡張機能)

 qappmanager ユーティリティーは、初回の自動更新を実行した後に QRadar V7.4 コンソール・アプライアンスでインストールされます。このユーティリティーは、recon ユーティリティーのすべての機能およびアプリケーションを管理するための API が付いています。また、追加でアプリケーションを管理する機能も搭載しています。この技術情報の範囲は、UI 上に表示されない事象またはエラー状態のアプリケーションを起動または停止するために、ユーティリティーを使用する方法について取り上げています。場合によっては、UI 上に表示されず、エラー状態ではないアプリケーションもありますが、アプリケーションを再起動することでそれらの事象を解消できます。このアプリケーションは、主に QRadar サポート担当者向きでサポート・ツールとして使用されています。

 qappmanager を使用するには

  1. SSH を使用して、root ユーザーとしてコンソールにログインします。
  2. 次のコマンドを入力します: /opt/qradar/support/qappmanager
    注: 今回の Assistant アプリケーションは使用例となります。image 6847
  3. Options 」リストから「 App instance - start (23) 」を選択します。
    image 6839
  4. アプリケーションの「 Authorized Service 」に関連付けられている番号を入力します。
    注: これは、Admin のセキュリティー・プロファイルでなければいけません。
    image 6840
  5. 開始したいアプリケーションの ID を入力します。今回の例では、QRadar Assistant アプリケーション 1453 を使用します。
    image 6848
  6. アプリケーションは「 RUNNING 」のステータスを表示します。
    image 7147
  7. Chooseオプションから「 0 」を入力して、qappmanager ユーティリティーを終了します。
結果
管理者は QRadar Assistant アプリケーションを起動すると、UI から他のアプリケーション・インスタンスを起動できます。

 API を使用してアプリケーションを起動または停止する

 qappmanager は QRadar 7.3.x バージョンでは使用できないため、管理者は Developers interactive API を使用してアプリケーション ID を検索し、アプリケーションを起動する必要があります。

この事象を解消するには、recon ユーティリティーおよび API を使用します。

  1. admin ユーザーとしてコンソールにログインします。
  2. 「 navigation 」メニュー (☰) > nteractive API for Developers 」の順にクリックします。
  3. gui_app_framework 」を展開します。
  4. Applications 」をクリックします。
    image 6867
  5. Try It Out! 」をクリックします。
  6. 動作していないアプリケーションを Response Body で検索します。該当のアプリケーション ID とそのステータスをメモしてください。
    image 6869
  7. applications 」を展開します。
  8. application_id. 」をクリックします。
  9. POST 」をクリックします。
  10. Parameter の「 application_id 」の値に、前述のステップ 6 でメモしたアプリケーション ID を入力します。
    image 6871
  11. Parameter の「 status 」の値に、「 RUNNING 」と入力します。
  12. Try It Out! 」をクリックします。
結果
 Response Body は、次のようなメッセージを表示します: 
{
  "installed_on": 1579643001405,
  "application_state": {
    "memory": 2000,
    "application_id": "1101",
    "status": "STARTING"
  },
  "manifest": {
    "description": "Machine Learning Analytics",
    "console_ip": "192.168.0.80",
    "uuid": "3f42e91e-bab9-4e7f-a943-64067a728f70",
    "app_id": 1101,
    "multitenancy_safe": "true",
    "resources": {
      "memory": 2000
    },
    "version": "3.8.0",
    "dependencies": {
      "rpms_directory": "/src_deps/init/rpms",
      "pip_directory": "/src_deps/init/pip"
結果
これら 3 つの手順は、アプリケーションが開始していない、エラー状態を表示している、またはアプリケーション・タブでデータが欠落しているといった事象を解消します。これらの手順でアプリケーションの事象が解消しない場合は、IBM QRadar サポート へご連絡ください。

Document Location

Worldwide

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]

Document Information

Modified date:
08 October 2021

UID

ibm16380278

Page Feedback