IBM Support

QRadar: QRadar 管理対象ホストで WinCollect のデバッグ・ログを有効にする方法

How To


Summary

QRadar で Wincollect へのデバッグ・ログを有効にします。

Objective

この技術情報では、QRadar 管理対象ホストでより詳細なデバッグ・ログを有効にすることにより、Wincollect の問題をトラブルシューティングするのに役立ちます。デバッグ・ログは、以下の問題に有用です:
  • エージェントの登録
  • ログ・ソースの作成 (エージェントのインストール中)
  • エージェントの構成
  • ログ・ソースの更新
  • エージェントのアップグレード (管理モード)

Steps

  1. QRadar コンソールにログインします。
  2. 任意: Wincollect エージェントの configurationServer として定義した管理対象ホストに SSH で接続します。
  3. DEBUG ログで設定する必要がある 3 つのクラスパスがあります。これらのクラスパスは、通常 QRadar ホストに存在します。 - QRadar の Wincollect バージョンが古いバージョンである場合は、これらのクラスパスを手動で追加する必要があります。以下の項目を参照してください。
    • com.q1labs.aleremotemanagement
    • com.q1labs.sem.semsources.wincollectconfigserver
    • com.q1labs.core.ui.servlet.WinCollect
  4. 右記はクラスパスに対して DEBUG ログを有効にするスクリプトです: /opt/qradar/support/mod_log4j.pl
    すべてのオプション (-h はヘルプ) を把握していない場合は、以下のコマンドを実行し、クラスパスが使用できるかどうか表示します: 
    /opt/qradar/support/mod_log4j.pl -l | egrep "com.q1labs.aleremotemanagement|com.q1labs.sem.semsources.wincollectconfigserver|com.q1labs.core.ui.servlet.WinCollect"
    出力例:
    10   INFO      SyslogPortAppender,SyslogPortAppenderNotification  com.q1labs.aleremotemanagement
    17   INFO      SyslogPortAppender,SyslogPortAppenderNotification  com.q1labs.core.ui.servlet.WinCollect
    28   INFO      SyslogPortAppender,SyslogPortAppenderNotification  com.q1labs.sem.semsources.wincollectconfigserver
  5. 「 INFO 」を「 DEBUG 」に変更するには、オプション -ml ( modify logger ) を使用します。上記出力例の各行の先頭にある数値をメモしてください。この値は、次のコマンドで使用します。最後の値 (以下の 3 ) は、DEBUG の値です。デバッグ時にタイマーを設定するには、-duration オプションを使用します。
    以下のコマンドは、出力例にある最初のクラスパスを「 INFO 」から「 DEBUG 」に変更します: 
    /opt/qradar/support/mod_log4j.pl -who yourName -ml 10 3 -duration 30min
     3 つのクラスパスを一度にすべて変更するには、以下のコマンドでまとめて実行できます: 
    /opt/qradar/support/mod_log4j.pl -who yourName -ml 10 3 -duration 30min;/opt/qradar/support/mod_log4j.pl -who yourName -ml 17 3 -duration 30min;/opt/qradar/support/mod_log4j.pl -who yourName -ml 28 3 -duration 30min
  6. 任意: Wincollect の古いバージョン (例えば 7.2.7 またはそれ以前) で、3 つのクラスパスが存在しない場合は、次のように追加できます: 
    /opt/qradar/support/mod_log4j.pl -who yourName -al com.q1labs.aleremotemanagement; /opt/qradar/support/mod_log4j.pl -who yourName -al com.q1labs.core.ui.servlet.WinCollect; /opt/qradar/support/mod_log4j.pl -who yourName -al com.q1labs.sem.semsources.wincollectconfigserver
  7. 以下のコマンドで構成サーバー・プロトコルを一旦再ロードします: 
     touch /opt/ibm/si/services/ecs-ec-ingress/eventgnosis/lib/q1labs/q1labs_semsources_protocol_WinCollectConfigServerProtocol.jar
  8. デバッグ出力は /var/log/qradar.java.debug にあります。
  9. ログを手動でデフォルトに戻すには以下のコマンドを実行します: 
    /opt/qradar/support/mod_log4j.pl -who yourName -r

Document Location

Worldwide

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtwAAA","label":"WinCollect"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]

Document Information

Modified date:
28 August 2021

UID

ibm16457687

Page Feedback