IBM Support

QRadar: CEP の競合によるコンテンツの拡張またはアプリケーション・インストールの失敗について

Troubleshooting


Problem

管理者が拡張管理機能を使用して、カスタム抽出プロパティー ( CEP ) でコンテンツ・パッケージまたはアプリケーションをインストールしようとする時、インストール・プレビューが単一のプロパティーと FAILED のステータスを表示する場合があります。管理者がインストールの続行を選択すると、「エラーが発生しました。詳しくは、コンソール・ログを参照してください。」というメッセージとともに処理に失敗します。通常、この動作は、インポートされている CEP が既にシステム上にある CEP と競合していることを示します。

Symptom

コンテンツ・パックまたはアプリケーションのインストール中に、インストールによる変更をプレビューするための画面があります。競合する CEP がある場合は、以下の FAILED メッセージが表示されます:
Install Preview Example
この「 Originating_User 」は競合している CEP の名前になりますが、この名前はシステムによって異なる場合があります。今回の技術情報では、例として Originating_User プロパティーを使用しています。

Diagnosing The Problem

  1. root ユーザーとして、コンソールに SSH 接続します。
  2. 以下のコマンドを使用して、より詳細なエラーを確認するためログを検索します: 
    ​grep -i contentcustom /var/log/qradar.log
    修正可能なメッセージは、次の 2 つがあります:
    1. 既存の名前と競合がある場合 
      Conflict during the import of property [Originating_User], found an existing property with the same name but different [type/id]
    2. 既存の UUID と競合がある場合 
      ​Property with id [c5496d4e-dd49-46ab-b6dc-04a892757a23] already exists but have a different name
  3. 重要: 表示された出力内容がこれらいずれのメッセージにも一致しない場合は、さらなる支援のために QRadar® サポートへご連絡ください。
  4. ステップ 2 で既存の UUID との競合として問題が識別された場合は、CEP 名を検索するために以下のコマンドを使用して Postgres に照会してください: 
    ​# psql -U qradar -c "select id, propertyname, database, username from ariel_regex_property where id='<UUID>';"
    出力例は以下となります:
    ​# psql -U qradar -c "select id, propertyname, database, username from ariel_regex_property where id='c5496d4e-dd49-46ab-b6dc-04a892757a23';"
                  id                  |   propertyname   | database | username
--------------------------------------+------------------+----------+----------
 0d7b6408-e76c-4765-95e9-c9a8c3693a0e | Originating User | events   | admin
(1 row)

Resolving The Problem

  1. QRadar® UI にログインします。
  2. このドキュメントに従って CEP を見つけます。
  3. CEP が使用されていない場合 (例えば、CEP がフロー・プロパティーであるが、システムがフローを収集しない場合)、またはそれを直接削除したい場合は、ステップ 7 に進んでください。
  4. 「カスタム・プロパティー定義」画面で「新規プロパティー」を選択し、新規の名前を付けますが、それ以外は変更しないでください:image 6461
  5. CEP を保存します。
  6. ステップ 2 の検索結果が複数ある場合は、残りの各々をコピーしますが、ステップ 4 では既存のプロパティーと新しいプロパティー名を選択します:image 6464
  7. 元の CEP を全て削除します。
    1. 依存関係がある場合は、依存関係を削除するか、新規作成されたプロパティーに置き換えてください。
  8. コンテンツ・パックを再インストールしてください。

    結果:
    上記のステップを実行後、問題が解決しない場合は、さらなる支援のために QRadar® サポートへご連絡ください。

 

Document Location

Worldwide

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
09 August 2021

UID

ibm16429427

Page Feedback