Troubleshooting
Problem
新しい Box ログ・ソースを作成したところエラー状態になりました。調べたところ、次のエラー・メッセージが出力されていました。 Invalid Client credentials or IDs in log source configuration. Response status [400] from Box REST API.
Symptom
Box ログ・ソースに適用される資格情報は正しいものですが、'Invalid Client credentials or IDs' を示すログ・ソース・エラーが出力されます。
Diagnosing The Problem
/var/log/qradar.error に次のようなエラー・メッセージが見られます。
Invalid Client credentials or IDs in log source configuration. Response status [400] from Box REST API. Error Response:
{"error":"invalid_grant","error_description":"Current date\/time MUST be before the expiration date\/time listed in the 'exp' claim"}
Resolving The Problem
無効な資格情報または ID エラー・メッセージは、REST API をホストしている Box サーバーの時間が、リモート・イベントをポーリングしようとするQRadar アプライアンスと同期していない場合に発生する可能性があります。Box は UNIX のエポック・タイムに基づいて API タイムを設定しており、クエリーを QRadar と同期させてエラーの無いイベント・データをポーリングできるようにします。Box API から受信したタイム・スタンプは管理コンソールの設定に基づいています。エンタープライズの一部である場合は、管理者によって設定されたデフォルトのユーザー設定になります。
- QRadar アプライアンスの時間が Box サーバーの時間と一致していることを確認します。詳細は、Box 管理者に、Box 設定の管理パネルの日時設定の確認方法についてお問い合わせするか、次のドキュメントをご確認ください。 Box Community: Current date\/time MUST be before the expiration date\/time listed in the 'exp' claim
- QRadar Console にログインします。
- 管理からLog Source Management アプリケーションをクリックして開きます。
- Box ログ・ソースを選択します。
- 有効 / 無効をクリックし、Box ログ・ソースを無効に切り替えた後に有効にします。
結果
リモートの Box ホストからログを受信していることを確かめます。QRadar と Box サーバーの日時設定を比較するために、必要に応じて Box 管理者に管理パネルの日時設定の確認方法についてお問い合わせしてください。
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
14 September 2021
UID
ibm16415677