Troubleshooting
Problem
QRadar に多くのオフェンスがある場合、一部のダッシュボード、レポート、検索で Tomcat が再起動することがあります。
Symptom
/var/log/qradar.log で:以下と同じような内容を返します。grep -i txsentry /var/log/qradar.error | less +G
com.q1labs.hostcontext.tx.TxSentry: (..) Found a process on host {CONSOLE}: tomcat, pid={PID}, TX age={t} secs TX on host {CONSOLE}: pid={PID} age={T} IP={loopback} port={port} locks={N} query='SELECT DISTINCT t0.id, t0.attackerCount, (..)
Cause
TXSentry は、タスクに時間がかかりすぎているサービスを停止する機能であり、システム全体を保護するように設計されています。
Diagnosing The Problem
psql -U qradar -c "select * from q_table_size;"
1 GBを超える " offense_attacker_target_link " が表示される場合は、この問題が発生しています。 さらに、パフォーマンスの問題のために 1 GBを超えるものはすべてクリーンアップする必要がありますが、エラーに示されているテーブルによっては、リファレンス・セットなどのテーブルが関連していない可能性があります。
Resolving The Problem
環境によって、表のクリーンアップ、存続時間または保存期間の短縮オプションを選択できますが、最も簡単なオプションは、デフォルトのタイムアウト値を増やすことです。
- Webコンソールにログインします。
- 「管理」タブをクリックします。
- 「システム設定」を選択します。
- 「拡張」を選択します。
- 「トランザクションの最大時間制限」を 30 分に設定します。
重要: 「すべての構成のデプロイ」を実施しても、QRadarは引き続きイベントを収集します。 イベント収集サービスを再起動する必要がある場合、QRadarは自動的に再起動しません。 厳格な停止ポリシーを持つ管理者は、組織の定期メンテナンス期間中に次のステップを完了することをお勧めします。 - 「管理」タブから、「詳細」 > すべての構成のデプロイ をクリックして変更します。
Related Information
Document Location
Worldwide
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtNAAQ","label":"Deployment"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.3.2;7.3.3;7.4.0;7.4.1"}]
Was this topic helpful?
Document Information
Modified date:
09 August 2021
UID
ibm16391612