How To
Summary
QRadar で Wincollect へのデバッグ・ログを有効にします。
Objective
この技術情報では、QRadar 管理対象ホストでより詳細なデバッグ・ログを有効にすることにより、Wincollect の問題をトラブルシューティングするのに役立ちます。デバッグ・ログは、以下の問題に有用です:
- エージェントの登録
- ログ・ソースの作成 (エージェントのインストール中)
- エージェントの構成
- ログ・ソースの更新
- エージェントのアップグレード (管理モード)
Steps
- QRadar コンソールにログインします。
- 任意: Wincollect エージェントの configurationServer として定義した管理対象ホストに SSH で接続します。
- DEBUG ログで設定する必要がある 3 つのクラスパスがあります。これらのクラスパスは、通常 QRadar ホストに存在します。 - QRadar の Wincollect バージョンが古いバージョンである場合は、これらのクラスパスを手動で追加する必要があります。以下の項目を参照してください。
- com.q1labs.aleremotemanagement
- com.q1labs.sem.semsources.wincollectconfigserver
- com.q1labs.core.ui.servlet.WinCollect
- 右記はクラスパスに対して DEBUG ログを有効にするスクリプトです: /opt/qradar/support/mod_log4j.pl
すべてのオプション (-h はヘルプ) を把握していない場合は、以下のコマンドを実行し、クラスパスが使用できるかどうか表示します:/opt/qradar/support/mod_log4j.pl -l | egrep "com.q1labs.aleremotemanagement|com.q1labs.sem.semsources.wincollectconfigserver|com.q1labs.core.ui.servlet.WinCollect"
出力例:
10 INFO SyslogPortAppender,SyslogPortAppenderNotification com.q1labs.aleremotemanagement
17 INFO SyslogPortAppender,SyslogPortAppenderNotification com.q1labs.core.ui.servlet.WinCollect
28 INFO SyslogPortAppender,SyslogPortAppenderNotification com.q1labs.sem.semsources.wincollectconfigserver -
「 INFO 」を「 DEBUG 」に変更するには、オプション -ml ( modify logger ) を使用します。上記出力例の各行の先頭にある数値をメモしてください。この値は、次のコマンドで使用します。最後の値 (以下の 3 ) は、DEBUG の値です。デバッグ時にタイマーを設定するには、-duration オプションを使用します。
以下のコマンドは、出力例にある最初のクラスパスを「 INFO 」から「 DEBUG 」に変更します:/opt/qradar/support/mod_log4j.pl -who yourName -ml 10 3 -duration 30min
3 つのクラスパスを一度にすべて変更するには、以下のコマンドでまとめて実行できます:/opt/qradar/support/mod_log4j.pl -who yourName -ml 10 3 -duration 30min;/opt/qradar/support/mod_log4j.pl -who yourName -ml 17 3 -duration 30min;/opt/qradar/support/mod_log4j.pl -who yourName -ml 28 3 -duration 30min
- 任意: Wincollect の古いバージョン (例えば 7.2.7 またはそれ以前) で、3 つのクラスパスが存在しない場合は、次のように追加できます:
/opt/qradar/support/mod_log4j.pl -who yourName -al com.q1labs.aleremotemanagement; /opt/qradar/support/mod_log4j.pl -who yourName -al com.q1labs.core.ui.servlet.WinCollect; /opt/qradar/support/mod_log4j.pl -who yourName -al com.q1labs.sem.semsources.wincollectconfigserver
- 以下のコマンドで構成サーバー・プロトコルを一旦再ロードします:
touch /opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/q1labs_semsources_protocol_WinCollectConfigServerProtocol.jar
- デバッグ出力は /var/log/qradar.java.debug にあります。
- ログを手動でデフォルトに戻すには以下のコマンドを実行します:
/opt/qradar/support/mod_log4j.pl -who yourName -r
Related Information
Document Location
Worldwide
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtwAAA","label":"WinCollect"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
28 August 2021
UID
ibm16457687