Question & Answer
Question
Cause
Answer
- 2020 年 12 月 30 日 - GMT+13 タイム・ゾーンのお客様より、アプライアンスのデプロイの変更後にイベントの処理が行われていない問題についてサポート・ケースが報告されました。サポートおよび開発によりログの調査が行われ、ログ内の"Waiting for license..." サービス・メッセージの出力が確認されました。
- 2020 年 12 月 31 日 - 継続して開発による調査を実施。また、一時的な jar ファイルがケースで問い合わせ中のユーザーに提供されました。
- 2020 年 12 月 31 日 - QRadar ユーザーに対して、サービスの不要な再起動を防ぐために、デプロイの変更を行わないようフラッシュ通知 が発行されました。
- 2020 年 12 月 31 日 - この問題を簡単に解決するための一行のコンソール・コマンドの指示を含む 2 回目のフラッシュ通知が発行されました。
- 2021 年 1 月 1 日 - 7.2.8、7.3.0 および 7.3.1 などの古い QRadar バージョンのための新しい一行コマンドについてカスタマー・コニュニケーションが更新されました。
- 2021 年 1 月 1 日 - Disconnected Log Collectors (DLC) への指示を含むようにカスタマー・コミュニケーションが更新されました。
- 2021 年 1 月 1 日 - QRadar 自動更新を使用してフィックスをインストールすることができることをユーザーに通知する自動更新のフラッシュ通知が発行されました。
- 2021 年 1 月 4 日 - QRadar ソフトウェアをアップグレードするユーザーに、アップグレード後にライセンス・フィックスを適用が必要であることを警告するためにカスタマー・コミュニケーションが更新されました。
- 2021 年 1 月 6 日 - サービスの問題を公式に追跡するために APAR IJ30161 が発行されました。開発は QRadar 7.3.3 および 7.4.2 の保留中のソフトウェア・リリース (フィックス・パック) に対する作業とテストを継続しています。
- 2021 年 1 月 12 日 - 長期的に問題に対応するための QRadar® ソフトウェアがリリースされました。QRadar 7.3.3 Fix Pack 7 と 7.4.2 Fix Pack 1 は IBM® Fix Central からダウンロードいただけます。
- 2021 年 1 月 20 日 - 新しいアプライアンスを購入した場合の FAQ のセクションを追加しました。
IJ30161 に対する QRadar 開発からの長期的な解決策は何ですか。
QRadar 7.3.3 および 7.4.2 のフィックス・パックがリリースされれば、管理者はフィックス・パックをインストールすることでサード・パーティのライセンス問題を解決することができます。開発部門は、ユーザーが今後においてイベント処理の問題を経験しないように、次期フィックス・パック・リリースではサード・パーティーのライセンスを変更しています。
- 7.4.2 Fix Pack 1 Release Notes (2021 年 1 月 12 日リリース)
- 7.3.3 Fix Pack 7 Release Notes (2021 年 1 月 12 日リリース)
QRadar アプライアンスに自動更新の修正があることを確認するにはどのようにすればよいですか。
2021 年 1 月 2 日から、ライセンス問題に対する一行の修正が含まれるように特別な自動更新がリリースされました。管理者は自動更新を確認することで、Console がこの問題のライセンス・フィックスを受信したかを確認することができます。patch_2021_1.sh の名前のマイナー更新は 7.3.0 以降のすべての Console に一行のフィックスを適用するために発行されました。管理者は patch_2021_1.sh の適用状況を管理タブ > 自動更新 の UI 上にて確認することができます。
注 : 自動更新システムは、すべてのユーザーに対して日次で変更の適用を試みます。しかしながら、後続の自動更新では以前に Console に適用されたものとして patch_2021_1.sh ファイルをインストールしようとする試みは表示されません。
QRadar 7.2.8 またはエアー・ギャップ・ネットワークのユーザーは、自動更新フラッシュ通知に記載されている通りに一行のコマンドを実行するか、IBM Fix Central から最新の自動更新ファイルを適用することができます。patch_2021_1.sh ファイルは QRADAR-QRAUTO-1609491687 以降に含まれます。
QRadar on Cloud は影響を受けますか。
QRadar 開発により使用可能になった時点で、一行コマンドは QRadar on Cloud アプライアンスに適用されています。QRadar on Cloud 管理者に必要とされるアクションはありません。QRadar on Cloud アプライアンスのアップグレードが使用可能になった場合には、担当の DevOps チームがお客様のサイト・リーダーに連絡して APAR IJ30161 を解決するためのアップグレードが保留中である旨を通知します。
高可用性ペアとフェイル・オーバーは影響を受けますか。
QRadar 管理者または QRadar 自動更新によって発行された一行コマンドが高可用性のプライマリー・アプライアンスとセカンダリー・アプライアンスに適用されました。アプライアンスでフェイル・オーバーが発生した場合でも、一行の修正を再度適用する必要はありません。
新しいアプライアンスを購入しました。どうすればよいですか。
2020 年の第 4 クオーターに購入され、QRadar 7.3.3 Fix Pack 7 または QRadar 7.4.2 Fix Pack 1がインストールされていないアプライアンスは APAR IJ30161 の影響があります。次のステップに従って新しいアプライアンスに IJ30161 のワークアラウンドを適用してください。
手順
- アプライアンスをラックに取り付け、インストール手順を完了させます。
- QRadar デプロイメントにアプライアンスを追加します。
- IJ30161 の解決のために次のいずれかのステップに従います。
- IJ30161 のフラッシュ通知の一行コマンドを QRadar Console で実行します。 (推奨)
- QRadar 自動更新チェックを実行します。更新チェックはサポート・ユーティリティを実行し、IJ30161 のフィックスが新しいアプライアンスに適用されます。
- QRadar Console にユーザーとしてログインします。
- ログ・アクティビティー タブをクリックします。
- クイック・フィルター・バーで、新しいアプライアンスのアドレスかホスト名を入力します。
- イベントが受信していることを確認します。
結果
複数のアプライアンスをラックに取り付け、デプロイメントに追加した場合は、この手順を繰り返します。一行コマンドを実行し、アプライアンスに IJ30161 のワーク洗う安堵が適用されたことを確認してください。オプションで、IJ30161 が解決されたバージョンに QRadar デプロイメントをアップグレードすることができます。APAR IJ30161 の問題が継続する場合には、QRadar Support にお問い合わせください。
構成バックアップを Console にリストアする場合はどうなりますか。
APAR IJ30161 のライセンスは、構成バックアップやリストアに影響を与えません。構成バックアップ・ファイルの外にライセンス・フィックスが存在するため、構成バックアップをリストアする場合はライセンス・フィックスを適用する必要はありません。
QRadar Console をアップグレードできますか。
アップグレード可能です。IBM Fix Central で 7.3.3 Fix Pack 7 または 7.4.2 Fix Pack 1 が使用可能になる前に QRadar® バージョンをアップグレードできます。しかしながら 7.3.3 Fix Pack 7 または 7.4.2 Fix Pack 1 が IBM Fix Central にリリースされる前にソフトウェア・バージョンにアップグレードする場合は、QRadar Console に一行のフィックスを適用する必要があります。フラッシュ通知の all_servers コマンドを使用して一行のコマンドで QRadar アプライアンスにフィックスを適用するには、すべてのアプライアンスをアップグレードしてオンラインにする必要があります。
7.3.3 Fix Pack 7 または 7.4.2 Fix Pack 1 リリースが使用可能になると、管理者はサード・パーティーのライセンス問題に対して一行のフィックスを適用することなく、これらのバージョンにアップグレードできます。
例
| カレント・バージョン | アップグレード先 | IJ30161 のワークアラウンド要否 |
|---|---|---|
| 7.3.x | 7.3.3 Fix Pack 6 | 要。QRadar 7.3.3 Fix Pack 7 より前のリリースへのアップグレードでは、フラッシュ通知の一行コマンドの適用が必要です。 |
| 7.4.x | 7.4.2 GA | 要。QRadar 7.4.2 Fix Pack 1 より前のリリースへのアップグレードでは、フラッシュ通知の一行コマンドの適用が必要です。 |
Disconnected Log Collectors (DLC) は影響を受けますか。
Disconnected Log Collectors (DLCs) は、初めはサード・パーティーのライセンス問題の影響を受けると考えられていました。その後の調査により Disconnected Log Collector のインストールではサービスの再起動時にサード・パーティーのライセンス・ファイルを参照しないため、一行のフィックスを必要としないと判断されました。DLC インストール用の一行のフィックスを適用するための手順はフラッシュ通知から削除されました。
このライセンスの変更は EPS/FPM ライセンスに影響を与えますか。
EPS/FPM ライセンスへの影響はありません。IJ30161 はサード・パーティーのライセンスの問題によって発生しましたが、サード・パーティー・ライセンスは、QRadar の Event Per Second (EPS) または Flow Per Minute (FPM) ライセンスとは異なります。IBM または q1pd@us.ibm.com から更新されたライセンス・ファイルを受け取った場合は、通常通りにライセンスをアップロードして割り振ることができます。
QRadar Community Edition は影響を受けますか。
QRadar Community Edition のユーザーはこの問題の影響を受けます。QRadar Community Edition の管理者である場合は、フラッシュ通知に記載された一行のコマンドを入力する必要があります。
QRadar トライアル・アプライアンスは影響を受けますか。
QRadar SIEM トライアル・インストールはこの問題の影響を受けます。14 日間の無料トライアル・ユーザーは再生されたイベントによりイベント処理が停止したことを報告しました。この問題を解決するための QRadar トライアル・アプライアンスの更新が準備されています。QRadar トライアルで問題が発生した場合は qroctry@us.ibm.com に E メールでお問い合わせください。
Related Information
Was this topic helpful?
Document Information
Modified date:
22 February 2021
UID
ibm16398781