Troubleshooting
Problem
アップグレード中に重複するカスタム・プロパティー名が検出された場合は、システムをアップグレードする前に、これらプロパティーの各々のインスタンスを 1 つだけ残し、残りは全て削除する必要があります。
Resolving The Problem
1. コンソール上で以下のコマンドを入力し、同じプロパティー名を持つ複数のプロパティーが存在するか確認します:
psql -U qradar -c "select propertyname,count(propertyname) from ariel_regex_property group by propertyname having count(propertyname) > 1;"
2. ステップ 1 で検出された重複プロパティーごとに以下のコマンドを入力し、そのプロパティーのいずれかが自動検出または非推奨になっているかどうかを確認します。<duplicate_property> は、ステップ 1 の出力でいう重複するプロパティー名です:
psql -U qradar -c "select id,propertyname,autodiscovered,deprecated from ariel_regex_property where propertyname='<duplicate_property>';"
例として、ステップ 1 からの出力に VirusName プロパティーが含まれている場合は、次のように入力します:
psql -U qradar -c "select id,propertyname from ariel_regex_property where propertyname = 'VirusName';"
このコマンドの出力は、次のようになります:
id | propertyname | autodiscovered | deprecated
---------------------+--------------+----------------+------------
DEFAULTCUSTOMEVENT9 | VirusName | f | f
VIRUSNAME_FACADE | VirusName | f | t
---------------------+--------------+----------------+------------
DEFAULTCUSTOMEVENT9 | VirusName | f | f
VIRUSNAME_FACADE | VirusName | f | t
3. ステップ 2 で実行したコマンドから出力されているプロパティー ID ごとに以下のコマンドを入力し、そのプロパティーが属する式および式テーブルの数を検索します。<property_id1> および <property_id2> はステップ 2 の出力でいうプロパティー ID になります:
psql -U qradar -c "select count(*),'ariel_property_expression' from ariel_property_expression where ap_id = '<property_id1>' union select count(*), 'ariel_property_json_expression' from ariel_property_json_expression where ap_id = '<property_id2>';"
例として、VirusName の重複プロパティーである出力には、DEFAULTCUSTOMEVENT9 および VIRUSNAME_FACADE という 2 つのプロパティー ID が含まれています。DEFAULTCUSTOMEVENT9 ID に対して以下のコマンドを実行します:
psql -U qradar -c "select count(*),'ariel_property_expression' from ariel_property_expression where ap_id = 'DEFAULTCUSTOMEVENT9' union select count(*), 'ariel_property_json_expression' from ariel_property_json_expression where ap_id = 'DEFAULTCUSTOMEVENT9';"
このコマンドの出力は、次のようになります:
count | ?column?
-------+--------------------------------
0 | ariel_property_json_expression
52 | ariel_property_expression
-------+--------------------------------
0 | ariel_property_json_expression
52 | ariel_property_expression
また、VIRUSNAME_FACADE ID に対して、以下のコマンドを実行することも可能です:
psql -U qradar -c "select count(*),'ariel_property_expression' from ariel_property_expression where ap_id = 'VIRUSNAME_FACADE' union select count(*), 'ariel_property_json_expression' from ariel_property_json_expression where ap_id = 'VIRUSNAME_FACADE';"
このコマンドの出力は、次のようになります:
count | ?column?
-------+--------------------------------
1 | ariel_property_json_expression
0 | ariel_property_expression
-------+--------------------------------
1 | ariel_property_json_expression
0 | ariel_property_expression
4. 削除する必要のある重複プロパティーを判別します。
- ステップ 2 のコマンドの出力でいずれかのプロパティーが autodiscovered = t となるが、その他のプロパティーがそうではない場合、そのプロパティーを選択する。
- ステップ 2 のコマンドの出力で両方のプロパティーが autodiscovered = t となっている場合、ステップ 3 でのコマンドの出力の中で最も小さい式カウントを持つプロパティーを選択する。
- ステップ 2 のコマンドの出力でいずれかのプロパティーが deprecated = t、または id に「 FACADE 」が含まれている場合、式カウントが他のプロパティーの式カウントと等しい、もしくは少ない場合にのみ、そのプロパティーを選択する。
- 選択するプロパティーの判別に問題がある場合は追加支援のために、https://www.ibm.com/community/qradar/home/support/ で IBM サポートへご連絡ください。
ステップ 2 の出力例では、どちらのプロパティーも autodiscovered = t ではありません。VIRUSNAME_FACADE プロパティーには、deprecated = t と「 FACADE 」を含むプロパティー名の両方があり、その式カウントが DEFAULTCUSTOMEVENT9 の式カウントより小さいため、VIRUSNAME_FACADE を選択します。
5. 1 つのプロパティー名のみを表示するために次のコマンドを入力し、ステップ 4 から選択したプロパティー式を更新します。<unselected_id> はステップ 4 で選択しなかった ID で、<selected_id> はステップ 4 で選択した ID です。そして、<ariel_expression> は、ステップ 3 の出力で <selected_id> の式カウントを持つ列です:
psql -U qradar -c "update <ariel_expression> set ap_id = '<unselected_id>' where ap_id = '<selected_id>';"
例として、VIRUSNAME_FACADE を選択し、DEFAULTCUSTOMEVENT9 を選択せず、式カウントを持つ VIRUSNAME_FACADE 列は ariel_property_json_expression であるため、以下のように入力します:
psql -U qradar -c "update ariel_property_json_expression set ap_id = 'DEFAULTCUSTOMEVENT9' where ap_id = 'VIRUSNAME_FACADE';"
6. 以下のコマンドを入力して、ステップ 4 から選択したプロパティーを削除します。<selected_id> はステップ 4 で選択した ID で、<duplicate_property> は、ステップ 1 で検出された重複プロパティーです:
psql -U qradar -c "delete from ariel_regex_property where id = '<selected_id>' and propertyname = '<duplicate_property>';"
例として、VirusName プロパティーから VIRUSNAME_FACADE ID を削除するには、次のように入力します:
psql -U qradar -c "delete from ariel_regex_property where id = 'VIRUSNAME_FACADE' and propertyname = 'VirusName';"
Related Information
Document Location
Worldwide
[{"Type":"SW","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtdAAA","label":"Upgrade"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"7.4.3"}]
Was this topic helpful?
Document Information
Modified date:
25 August 2021
UID
ibm16475241