IBM Support

QRadar: イベントを開く時のアプリケーション・エラー・メッセージについて

Troubleshooting


Problem

ログ・アクティビティーでイベントを開くと、「 アプリケーション・エラー 」のメッセージが表示されます。

Symptom

エラー・メッセージは次のように表示されます:

image 9283

Cause

この問題は、既に非アクティブとなっているユーザーに割り当てられている AQL プロパティーが原因で発生する可能性があります。

Diagnosing The Problem

 /var/log/qradar.error ファイル内で、どのプロパティー ID が問題になっているかを示すメッセージが表示されます。メッセージは、以下のようになります:
Exception creating AQL key creator for property ID 99555295-29ae-4c23-9ef6-6f7e8fc5d2c2

Resolving The Problem

問題の AQL プロパティー ID を /var/log/qradar.error ファイル内で確認したら、 AQL プロパティー ID をデータベース内の Admin ユーザーへ再割り当てする必要があります。次のステップをご参照ください:
  1. root ユーザーとして QRadar コンソールに SSH 接続します。
  2. 変更を反映するテーブルのバックアップを作成することを推奨しているため、最初に以下のコマンドを実行してバックアップを生成します: 
    ​pg_dump -U qradar -t ariel_aql_property > /store/tmp/ariel_aql_property.sql
  3. 次のコマンドでデータベースを入力します: 
    psql -U qradar
  4. 問題のある AQL プロパティー ID が割り当てられているユーザーを判別するため、 /var/log/qradar.error ファイル内にある AQL プロパティー ID を使用して、以下の select ステートメントを実行します。 
    select username from ariel_aql_property where id='99555295-29ae-4c23-9ef6-6f7e8fc5d2c2';
  5. 以下のようなユーザー名を持つ出力が表示されます: 
    ​username
-----------
QradarTest
​
  6. ユーザー名を特定した後、問題のある AQL プロパティーを username の admin に再割り当てを行うため、ステップ #4 で見つけたユーザー名を使用して、以下の update ステートメントを実行する必要があります: 
    ​update ariel_aql_property set username='admin' where username='QradarTest';
  7. 更新後、「 UPDATE 1 」のメッセージが表示されます。このメッセージは正常に変更が行われたことを意味します。
  8. 次のコマンドでデータベースを終了します: 
    \q

    重要
    QRadar Web サービスを再起動する場合、全てのユーザーが QRadar UI を使用できず、イベントのエクスポート、レポートの生成が停止します。すぐに QRadar を停止させることが難しい管理者は、組織でスケジュールされた保守期間中に次のステップを行うことを推奨します。
     
  9. 次のコマンドを使用して、 hostcontext および tomcat サービスを再起動します: 
    ​systemctl stop hostcontext
systemctl restart tomcat
systemctl start hostcontext
結果
これらのステップが完了後、QRadar コンソール Web UI に移動し、ログ・アクティビティーでイベントが正常に開けることを確認してください。

Document Location

Worldwide

[{"Type":"SW","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtEAAQ","label":"Log Activity"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]

Document Information

Modified date:
31 July 2021

UID

ibm16451129

Page Feedback